Les rapports de la DCRI sur les Anonymous

Selon des sources au sein du Tribunal de grande instance de Paris, vendredi 8 juin le juge David Benichou a achevé ses investigations dans la première procédure judiciaire menée en France contre des Anonymous, et confiée à la Direction centrale du renseignement intérieur (DCRI). Ce dossier avait été ouvert à la suite d'actions menées par des Anonymous, il y a près d'un an, contre les serveurs des géants du nucléaire.

Owni a obtenu tous les rapports d’enquête et procès-verbaux, 211 au total, retraçant les missions de la DCRI dans cette affaire. Au-delà des méthodes et des techniques d'enquête qu'ils révèlent, ces documents mettent surtout en évidence la disproportion entre la perturbation provoquée par des Anonymous et les moyens mis en œuvre par ce service spécialisé dans la lutte contre le terrorisme et dans la protection des intérêts fondamentaux de la nation - enfin a priori.

L'histoire débute le 20 avril 2011. Une attaque par déni de service est lancée par des Anonymous contre plusieurs géants de l’électricité impliqués dans l’industrie nucléaire. Nom de code : Operation Greenrights. Après la tragédie de Fukushima au Japon, les activistes entendent alors protester contre les dangers du nucléaire civil. Le Français EDF, l’Américain General Electric et l’Italien ENEL sont visés.

Le lendemain à Paris, l’Agence nationale pour la sécurité des systèmes d’information (Ansi) alerte la DCRI "du déroulement d’une attaque informatique visant le portail Internet de l’Opérateur d’importance vitale (OIV) EDF", selon un compte rendu de la DCRI.

Cette notion d'opérateur d'importance vitale, définie en France dans une Instruction générale interministérielle de septembre 2008, crée des relations exceptionnelles entre les industriels et les services de sécurité.

En conséquence, branle-bas de combat chez les fins limiers du renseignement intérieur. Ses agents se mettent en quête de vilains Anonymous susceptibles d’avoir commis le coup. Dans un cadre légal pas très clair.

Mais par chance, le 2 mai, EDF dépose plainte contre ces attaques et se dépêche de transmettre quantité de données techniques à la DCRI - permettant donc l'ouverture officielle d'une enquête préliminaire. Un service avec lequel l'électricien entretient des relations institutionnelles comme l'illustrent les mails échangés entre le directeur sécurité de l’entreprise, Jean-Marc Sabathé (qui n'a pas répondu à nos sollicitations), et ses interlocuteurs au sein de la DCRI.

Au plan du droit, l’opérateur avance le motif que durant 14 heures ses sites bleuciel.edf.com ou entreprises.edf.com ont été indisponibles. La société chiffre le préjudice à 162.000 euros. Les autorités prennent l’affaire très au sérieux. La DCRI de son côté rédige des procès-verbaux dans lesquels elle livre sa définition des collectifs Anonymous et du Parti Pirate, dont il sera vite question dans l'affaire.

Une semaine plus tard, le Tribunal de Bobigny initialement saisi est écarté au profit de la Juridiction inter-régionale spécialisée (Jirs) de Paris, regroupant des magistrats experts es organisations criminelles. Au parquet de Paris, le vice-procureur Catherine Sorita-Minard, d’ordinaire chargée de traquer les gros bonnets, supervise les recherches.

Gros poisson

Au siège de la DCRI, à Levallois, les geeks de la maison exploitant "un micro-message émis sur le réseau social Twitter" découvrent que l’opération Greenrights trouve une justification dans un manifeste publié sur un site rattaché au Parti Pirate allemand. Un parti qu’ils ne semblent pas vraiment connaître, comme l’indique un procès-verbal synthétisant leurs "recherches sur Internet sur ce mouvement".

Convaincus qu’ils ont ferré un gros poisson, ils sollicitent une organisation méconnue : le réseau G8/24-7 dédié à la cybercriminalité. Également connu sous l’appellation Groupe de Lyon, il agit comme une instance informelle de coopération entre les services de sécurité des États membres du G8, spécialisée dans la surveillance des réseaux. Un réseau dont le fonctionnement a été validé par les ministres de l’Intérieur du G8 lors d’une réunion tenue il y a dix ans, à Mont Tremblant en mai 2002. Dans chaque pays, une adresse email est réservée à cette coopération entre services, pour la France c'est : cyber-france24-7@interieur.gouv.fr

Par ce biais, une coopération judiciaire accélérée est établie avec le BKA – les homologues allemands de la DCRI. Pour les Français il s’agit d’obtenir dans des délais records un enregistrement des données contenues sur les serveurs du Parti Pirate allemand, et correspondant à l'écriture du texte collaboratif de revendication de l’opération Greenrights. Pour identifier les fauteurs de troubles sous le masque des Anonymous.

Le 23 mai le BKA crie victoire et avertit les collègues de la DCRI. Leurs agents sont parvenus à récupérer des données sur http://piratenpad.de, l'un des sites utilisé par le Parti Pirate pour la rédaction en ligne de textes collectifs. Non sans faire de dégâts. Ils ont ainsi rendu indisponible le site du mouvement pendant près de six heures mais surtout ils ont déconnecté 255 adresses IP, une manœuvre qui a dû provoquer ce jour-là quelques perturbations.

Talentueux

Ces recherches approfondies en Allemagne ne permettent pas de remonter aux auteurs du manifeste diffusé lors de la première vague de l’opération Greenrights. Les administrateurs du Parti Pirate ayant pris la bonne habitude d’effacer quantité de données. Tant pis pour la DCRI. Mais le 31 mai, des Anonymous repassent à l’action contre les géants de l’électricité nucléaire, dont EDF. Cette fois-ci, les agents de la DCRI aux aguets repèrent un flyer des Anonymous faisant référence au nom de domaine irc.lc/anonops/operationgreenrights.

Celui-ci appartient à un Français, Pierrick Goujon, présenté par les enquêteurs comme "un technicien talentueux". Selon la DCRI : "ce brillant dilettante, tout en reconnaissant que son site offrait une ampleur supplémentaire à l’attaque, limitait sa responsabilité à la mise en relation et non au contenu. La copie et le début d’exploitation du serveur de M. Goujon menés durant le temps de sa garde à vue confirmaient ces éléments".

Placé en garde à vue par la DCRI, Pierrick Goujon a été mis en examen par le juge David Benichou, le 26 janvier dernier, pour "Entrave au fonctionnement d’un système automatisé de données". Après un an d’enquête menée par la DCRI, sa culpabilité dans l’attaque par déni de service des sites d’EDF n’a pas été formellement établie, corroborant en cela les propos qu'il nous avait tenus peu après sa garde à vue. De la même manière, la deuxième personne mis en examen dans ce dossier, Matthieu O. a reconnu avoir fait œuvre de prosélytisme lors de l'opération Greenrights, sans toutefois participer à des attaques par dénis de service, comme l'a confirmé l'enquête.

Cet article a été initialement publié ici, sur owni.fr, le 14 juin 2012.