En 2021, des enquêteurs suédois découvrent, dans le cadre d’une enquête sur un réseau criminel, que les suspects ont recours à un nouvel appareil utilisant une messagerie cryptée, baptisée Ghost. Rapidement, le Centre de lutte contre les criminalités numériques (C3N) du Commandement de la gendarmerie dans le cyberespace (COMCYBERGEND) est sollicité, à la fois parce que l’un des serveurs de cette application est localisé en France, mais aussi et surtout parce que la gendarmerie nationale est identifiée comme un pôle d’excellence dans ce domaine, depuis le démantèlement d’Encrochat en 2020.

Un travail similaire à celui réalisé sur Encrochat

Les gendarmes ouvrent un dossier avec la Juridiction nationale de lutte contre la criminalité organisée (JUNALCO), afin de disposer d’un cadre judiciaire permettant de mener des investigations, dans le but de démontrer à la fois que cette structure numérique était effectivement dédiée aux communications criminelles, et de pouvoir récupérer les informations nécessaires aux enquêteurs sur la conception de la plateforme, et sur les utilisateurs qui communiquent entre eux via cet outil.

Ce travail très technique va être mené pendant plus d’un an au sein du Centre national d'expertise numérique (CNENUM) du COMCYBER-MI, et plus précisément dans le laboratoire de rétro-conception situé à Pontoise, et composé de militaires dont les profils vont du technicien au docteur en informatique. Cette unité très spécialisée va analyser la structure de l’application, exploiter les vulnérabilités identifiées, et tester des dispositifs de captation et d’interception. Un travail similaire à celui réalisé sur Encrochat.

Ce laboratoire a joué un rôle de coordinateur, collaborant avec d’autres laboratoires européens, et ce dans le cadre du projet Overclock, co-financé à hauteur de 4 millions d’euros par le Fonds pour la sécurité intérieure de la Commission européenne. Piloté par le COMCYBER-MI, celui-ci a pour objectif de capitaliser sur les efforts des laboratoires forensiques des forces de l’ordre européennes, en matière de techniques de déchiffrement associées à la téléphonie, afin de maintenir leur capacité à répondre aux réquisitions judiciaires.

51 personnes arrêtées en Italie, en Irlande, en Suède, au Canada et en Australie

Ce volume de données très important a ensuite été analysé dans le cadre d’une Operational task force (OTF) mise en place par EUROPOL dans ses locaux, animée par le C3N de l’UNCyber, et regroupant les enquêteurs des neuf pays concernés.

« Bien que cette application n’ait pas d’utilisateurs français connus à ce jour, l’UNCyber a été en appui des autres pays pour les aider à exploiter la donnée, précise le colonel Bertrand Michel, commandant en second de l’UNCyber. Il faut bien comprendre que le paysage des communications cryptées a évolué. Il y a de plus en plus de solutions, avec moins d’utilisateurs, ce qui ne veut pas dire pour autant que les cibles n’étaient pas intéressantes. »

Effectivement, 51 personnes ont été arrêtées cette semaine, en Italie, en Irlande, en Suède, au Canada et en Australie, dont le concepteur présumé de l'application. Cinquante menaces d'assassinat ont pu être déjouées en Australie. De nombreux trafics de stupéfiants et d’armes ont été démantelés, avec notamment une importante saisie de cocaïne en Irlande, pays qui comptait le deuxième plus grand nombre d’utilisateurs de la plateforme. En Italie, c’est un membre de la mafia recherché depuis plusieurs mois qui a pu être interpellé.

Créée il y a neuf ans, la plateforme Ghost ne fonctionnait que sur des smartphones spécialement modifiés, vendus environ 2 350 dollars australiens (1 430 euros), un prix comprenant six mois d'abonnement au service et une assistance technique. « Il s’agissait d’un véritable jeu du chat et de la souris à l’échelle mondiale, et aujourd’hui, la partie est terminée », s'est félicité le général (2S) Jean-Philippe Lecouffe, directeur exécutif adjoint des opérations d'EUROPOL, lors d'une conférence de presse au siège de l'agence à La Haye.

« Cette très belle opération a été le fruit d’une coopération internationale, avec notamment la constitution d’une Équipe commune d’enquête (ECE) entre la gendarmerie et le Federal bureau of investigation (FBI) américain, note le colonel Michel. Ce n’est que la seconde fois que cela se produit, et cela prouve bien la reconnaissance de la compétence et de l’efficacité de la gendarmerie et du COMCYBER-MI aux yeux de tous les acteurs mondiaux. »