Au lendemain des attentats de Conflans-Sainte-Honorine et de Nice, les cellules de lutte contre la cybercriminalité de la gendarmerie nationale ont scanné sans relâche les différentes plates-formes et réseaux sociaux. L’objectif: détecter et enquêter sur les profils suspects afin de les soumettre à la justice française.
Tout commence par un like. Un simple clic sur une photo publiée sur Twitter. Dans les jours qui suivent l’attentat de Conflans-Sainte-Honorine, au milieu d’un océan virtuel de messages de haine et d’insultes, un N-tech (enquêteur nouvelles technologies) de la Cell Cyber 41 (cellule de lutte contre la cybercriminalité du Loir-et-Cher) repère un signal qui se distingue des autres. Le like concerne une publication où apparaît le professeur Samuel Paty, décapité par le terroriste islamiste, Abdoullakh Anzorov, le 16 octobre dernier.
En consultant le reste du profil Twitter de l’auteur (anonyme, évidemment), les enquêteurs saisissent le procureur de la République de Blois qui décide de diligenter une enquête préliminaire confiée à la brigade départementale de renseignements et d’investigations judiciaires d’Orléans. Le déclenchement de cette enquête est crucial. Jusque-là, les enquêteurs ne travaillent qu’en Open Source Intelligence (Osint), c’est-à-dire qu’ils recueillent et analysent les données au moyen des sources d’informations publiques. Celles-ci sont accessibles au N-tech comme au simple citoyen munis d’un téléphone ou d’un ordinateur.
L’enquête, quant à elle, permet de réquisitionner des données non publiques qui permettront d’identifier un suspect. Il a 22 ans et est domicilié à Blois. D’origine tchétchène, il a déjà fait l’objet d’une condamnation en 2017 pour des faits d’apologie d’actes terroristes lors des attentats de Charlie Hebdo. Rapidement, une intervention est organisée pour interpeller le suspect chez lui, à 6 heures du matin. Une unité spécialisée est mobilisée ; ainsi que les fameux N-tech. Au domicile du suspect, plusieurs armes, armes blanches et munitions seront découvertes.
Entre le moment du like qui aura attiré l’œil des gendarmes et l’interpellation, une semaine s’est écoulée.Trop long? «On n’est pas là pour faire du Minority Report», coupe immédiatement le colonel Samuel Joguet, commandant de groupement à la gendarmerie de Blois, en faisant référence au film d’anticipation de Steven Spielberg où une technologie futuriste permet d’arrêter les criminels avant qu’ils ne commettent leurs crimes. «Tout le cœur du sujet dans le domaine de la cybercriminalité, c’est de pouvoir judiciariser l’affaire», poursuit le colonel dont les hommes ont procédé à trois interpellations de ce type en quinze jours.
La référence au film de Spielberg n’est pas anodine. Depuis deux décennies, un vrai décalage s’est installé entre la perception (et l’imaginaire) du grand public, et la réalité du «terrain» du numérique et de l’informatique. Formaté par les fictions qui tentent désespérément de rendre spectaculaire quelque chose qui ne l’est intrinsèquement pas, l’esprit du profane a bien vite fait d’imaginer la lutte contre la cybercriminalité – et donc les activités liées au terrorisme ou à son apologie -, de la même manière que dans un épisode des Experts. Il n’en est rien. Particulièrement avec cette typologie de suspects. «Dans le cas de Conflans-Sainte-Honorine, de Nice ou de l’individu que nous avons interpellé, il faut bien comprendre que l’on se trouve sur le bas du spectre, analyse Samuel Joguet. On est vraiment sur des individus radicalisés, mais qui passent à l’acte du jour au lendemain sans vraiment de préméditation sur le long terme. Nous ne sommes plus du tout face à des cellules comme celles responsablesdes attentats de Charlie Hebdo, ou de Paris en novembre 2015.»
Les fichés S ne sont pas la cible
Et c’est là que le bât blesse. Comment déceler, prévenir et traquer le criminel s’il n’est pas sur les radars? Là encore, les fameux fichés S, sempiternel terme galvaudé par les plateaux de télé dès lors que se tient un débat sur la menaceterroriste, ne sont pas le cœur du problème. Simple outil de suivi et de surveillance,la fiche S concerne tout individu «faisant l’objet de recherches pour prévenir des menaces graves pour la sécurité publique ou la sûreté de l’État, dès lors que des informations ou des indices réels ont été recueillis à leur égard.»
Large éventail qui peut ainsi désigner l’ancien codétenu d’un suspect, ou même certains zadistes ou militants écologistes radicaux. Face à ces individus n’émettant que de faibles signaux avant de passer à l’acte, face à ce bas du spectre, la stratégie doit être tout autre. Pour ce nouveau type de terrorisme, et son apologie, comme pour le reste de la cybercriminalité, l’organisation de la lutte contre ce type de crime par la gendarmerie française reprend une structure classique, pyramidale, qui émaille le territoire sur trois niveaux: central, régional et local.
Internet et les réseaux sociaux, malgré leur apparente homogénéité, gardent en permanence en mémoire la localisation géographique des individus qui l’utilisent – de la même manière qu’un téléphone portable borne à différents endroits. Ainsi, la lutte contre la cybercriminalité quelle qu’elle soit ne peut s’affranchir des logiques de territoires.
En bas de la chaîne, premier maillon, les éclaireurs dispersés sur cette voie publique numérique. Ce sont ces fameux N-tech, des gendarmes spécialisés dans l’investigation et la criminalité numérique. Chacun de ces enquêteurs obtient ce titre au bout d’une formation de dix-huit mois et peut ensuite former des «correspondants N-tech», ou C-Ntech: d’autres gendarmes qui vont pouvoir les aider ponctuellement dans des activités de veille, notamment pendant des moments sensibles tels les attentats de Conflans et de Nice.
Monitorer l’activité en ligne
«La base de notre travail, c’est vraiment l’OSINT, raconte Thomas, un N-tech du groupement de gendarmerie du Loir-et-Cher. C’est-à-dire les réseaux sociaux et l’espace numérique que tout le monde connaît: Facebook, Twitter, Instagram et tous les autres.» Et le colonel Samuel Joguet d’ajouter: «De la même manière que les forces de l’ordre patrouillent sur la voie publique, nos hommes sont amenés à patrouiller sur la voie publique numérique.» Particulièrement dans le sillage d’attentats terroristes. «Dans ce cas-là, les cellules cyber sont particulièrement actives et organisent des veilles pour monitorer l’activité en ligne», reprend Thomas.
Et puis il y a le haut de la chaîne. La plate-forme Pharos (Plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements) qui distille lesdits signalements effectués par les citoyens entre les branches cyber de la police nationale et de la gendarmerie. Elle sera prochainement renforcée par la création d’un pôle de magistrats au parquet de Paris spécialement dédié à la lutte contre la haine en ligne, comme l’a annoncé la semaine dernière le garde des Sceaux Éric Dupond-Moretti. Sur 1856 signalements se rapportant directement à l’assassinat de Samuel Paty, 270 enquêtes ont été ouvertes et ont conduit à l’interpellation de 210 individus.
Du côté de la gendarmerie, le réseau dit Cybergend est dirigé par le C3N – le centre de lutte contre les criminalités numériques – dans toutes leurs formes. Au temps fort des attentats de cette fin d’année a précédé celui du confinement du mois de mars, et donc l’augmentation drastique de la fréquentation de l’espace numérique avec notamment le télétravail. Un terrain de facto fertile à la prolifération de virus et d’arnaques en ligne type ransomware (logiciel de rançon). La répartition du traitement des affaires entre le niveau central (C3N) et les cellules territoriales comme celle de Blois se fait en fonction de leur ampleur et de leurs ancrages dans une région particulière.
La lutte contre la cybercriminalité – et plus particulièrement le cyberislamisme -, n’est donc pas l’affaire d’une guerre dans les recoins du dark web. «Aujourd’hui, ce que nous observons ne permet pas de dire que le dark web est le vecteur principal de la cybercriminalité liée au terrorisme ou à son apologie. Ce sont plutôt les réseaux sociaux classiques», affirme la colonelle Fabienne Lopez, qui dirige le C3N. «Notre mission consiste véritablement à déceler des comportements qui peuvent se qualifier en apologie du terrorisme puis à enfoncer le clou de la judiciarisation dans ce domaine. Et dans ces phases d’enquête, ce sont des procédures qui demandent de réquisitionner des preuves auprès des acteurs d’internet.» GAFA ou réseaux sociaux comme Snapchat ou TikTok…
Réduire les délais
Ces opérateurs d’internet ont pu, par le passé, se montrer retors face aux demandes des forces de l’ordre des centaines de pays où ils sont déployés – chaque pays possédant ses lois et ses systèmes inconnus des avocats et des juristes (souvent américains) de ces entreprises. «Le dialogue s’est amélioré ces dernières années», tempère le colonel Éric Freyssinet, chef du pôle national de lutte contre les cybermenaces de la gendarmerie nationale. «Depuis 2015, nous avons modernisé et simplifié le travail de nos hommes pour remplir les formulaires afin de réquisitionner les données nécessaires à l’enquête. Ce qu’il faut bien comprendre, c’est que ces entreprises ont aussi leurs contraintes: gérer 150 pays différents. Il y a encore de la marge pour progresser et fluidifier les discussions, mais la quasi-majorité de nos demandes reçoivent aujourd’hui des réponses positives.»
Reste la question du délai. Quand Twitter répond en quarante-huit heures à une demande d’identification d’un compte anonyme, c’est quarante-huit heures de latence dans une enquête. Et comme le déroulé des derniers attentats l’a démontré, les événements peuvent dramatiquement s’accélérer en quarante-huit heures.