Entretien avec Étienne Girard pulié ici, sur lexpress.fr.
Un triomphe policier… qui pose de nombreuses questions. Entre 2019 et 2021, une enquête européenne, menée par la France, la Belgique et les Pays-Bas, a abouti au démantèlement de la messagerie sécurisée Sky ECC, accusée de servir de paravent à la criminalité organisée. Quatre ans plus tard, quelque 4 168 personnes ont déjà été condamnées dans quarante pays, en grande partie grâce la France. De nombreuses instructions sont toujours ouvertes.
"Dans Sky ECC, la messagerie du crime", diffusé depuis début mai sur la plateforme MyCanal, le documentariste Guillaume Dasquié aborde un autre aspect de l'histoire : les atteintes aux libertés que suppose la cybersurveillance massive autorisée dans cette affaire et les débats autour des réelles intentions de l'entreprise Sky Global. Pour L'Express, il détaille, ce qui constitue, à ses yeux, un des enjeux majeurs des années à venir : le rapport entre la sécurité et la vie privée, que les nouvelles possibilités de cyber-espionnage mettent en question.
L’Express : L'affaire Sky ECC aurait-elle pu exister sans la France ?
Guillaume Dasquié : Non. La France a assumé des actes qui ailleurs auraient été frappés d’interdiction. En Allemagne, au Canada, aux États-Unis ou aux Pays-Bas, les lois ne permettent pas de capter des messages de manière massive et indifférenciée. Une suspicion doit être établie à l’encontre d’un numéro de téléphone ou du titulaire d’une ligne avant qu’une interception soit ordonnée.
C’est une règle fondamentale, la justice peut espionner vos communications mais uniquement s’il existe des doutes solides. En France, ce principe ne s’impose plus avec la même netteté. On observe un glissement. Peut-être a-t-il été favorisé par les attentats de 2015.
Désormais, des évolutions dans notre droit et dans notre jurisprudence permettent d’autoriser des systèmes de surveillance comme celui de l’affaire Sky ECC, visant plusieurs dizaines de milliers de personnes pendant un an et demi, sans que des soupçons raisonnables existent contre chacun des utilisateurs. Ici, il a suffi d’affirmer qu’une telle messagerie était utilisée par de nombreux criminels, pour que, par défaut, tous les clients soient suspectés de l’être.
Car les messages des dizaines de milliers d’abonnés de Sky ECC transitaient par des data centers situés en France, à Roubaix. S’ils s’étaient trouvés aux Etats-Unis ou au Canada, l’interception n’aurait donc pas été possible. C’est d'ailleurs la raison pour laquelle les Belges et les Néerlandais se sont réjoui que les serveurs loués par Sky soient domiciliés chez OVH Cloud, le champion tricolore de l’hébergement des données.
L’entreprise OVH Cloud aurait-elle pu s’opposer à ces interceptions validées par le juge ?
Nous en avons discuté avec la direction générale de l’entreprise. Je crois qu’elle aurait pu saisir un magistrat pour en débattre, surtout au regard de son histoire. Par le passé, OVH a affirmé son attachement à la protection des données privées et a même pris publiquement la défense de Julian Assange, le fondateur de WikiLeaks. Ils ont été placés face à un dilemme. En théorie, OVH, comme toute entreprise, se doit de répondre aux injonctions de la justice. C’est le droit.
Dans la pratique, près de 170 000 utilisateurs ont été surveillés pendant un an et demi, soit un immense volume de données. Compte tenu du caractère exceptionnel de cette captation, effectuée depuis leurs serveurs, ils auraient pu questionner cette requête, à travers des recours. Ils ne l’ont pas souhaité. Ont-ils rechigné à engager un bras de fer avec les autorités ? Dans la pratique, l’Etat appartient au nombre des clients importants de l’entreprise. OVH a développé des solutions de cloud souverain pour abriter les données sensibles des administrations françaises ainsi que de l’Union européenne. Disons que l’ambiance, en France comme ailleurs, favorise une compréhension mutuelle entre la tech et les gouvernements.
Le débat a tourné autour de l’utilisation de Sky ECC par une population exclusivement criminelle, comme l’a soutenu la police française, en majorité criminelle ou en partie criminelle. Ce qui change beaucoup de choses. Qu’en pensez-vous ?
Au printemps 2019, au moment où l’interception devait être validée, l’autorité judiciaire a affirmé noir sur blanc que Sky ECC fournissait une clientèle "exclusivement criminelle". Or elle n’en savait rien. À cette époque, seules quelques centaines de cartes SIM Sky ECC avaient été trouvées dans des affaires pénales - comparées aux dizaines de milliers en circulation. Une contradiction a alors été assumée. Pour justifier une captation systématique de l'intégralité des abonnés, il a fallu écrire qu'ils étaient tous criminels, mais pour en être certain, au regard de leur grand nombre, fallait-il auparavant tous les écouter ?
Aujourd’hui, en juin 2025, six ans après le début des interceptions, on estime qu'environ 15 % des utilisateurs font l’objet de poursuites pénales. Un chiffre à prendre avec précaution. Selon nos recherches, on ne peut pas en déduire que les autres, les 85 %, seraient innocents. Car d’une part l’analyse des données n’est pas achevée, et d’autre part certains auteurs de messages manifestement criminels n’ont jamais pu être démasqués, et donc ne sont pas poursuivis.
Face à un tel tableau, on peut aussi interroger les intentions de la start-up canadienne. À Vancouver, des éléments montrent que ses responsables savaient que des gangs locaux, notamment les Hell’s Angels, appréciaient sa messagerie chiffrée, sans que des initiatives soient prises pour limiter cette clientèle.
A contrario, nous pensons que parmi ces 85 %, il y avait aussi des gens ordinaires, qui n’avaient rien de criminel. Par exemple, ils renouvelaient leur abonnement via l’interface de paiement en ligne, sur le site web de Sky ECC, avec une banale carte Visa ou Mastercard à leur nom, leur e-mail, leur identifiant Sky et leur numéro de téléphone. Nous avons pu avoir accès au prestataire financier gérant ces paiements en ligne, la société Stripe, un prestataire très connu des acteurs de l’e-commerce, chez qui Sky ECC disposait d’un compte.
Est-ce que le préjudice pour les personnes innocentes dont les conversations ont été interceptées par la police n’est pas minime par rapport à l’enjeu d’empêcher des meurtres, des règlements de comptes, des livraisons de drogue, des livraisons d’armes ?
La fin justifie les moyens. On peut l’entendre. D’authentiques assassins et d’importants trafiquants ont été arrêtés grâce à ces interceptions et à l’énorme travail de la police judiciaire française et d’Europol. Sur le plan répressif c’est un incontestable succès. Quelles en seront les conséquences sur les droits fondamentaux ? Notre travail, en réalisant des documentaires, ne vise pas à délivrer des sentences. Il s’agit de placer le monde dans un miroir, de regarder sa complexité, d’exposer des enjeux parfois contradictoires.
Demain, la police pourrait-elle utiliser le "précédent" Sky ECC pour espionner WhatsApp ou Signal ?
L’intention existe. Au mois de mars dernier, le ministère de l’Intérieur a tenté de faire adopter des règles ciblant spécifiquement WhatsApp et Signal, des messageries chiffrées populaires. À terme, l’idée, que nous avons souvent entendue à Bruxelles, consisterait à abaisser le niveau de chiffrement de ces deux applications pour placer des solutions d’intelligence artificielle sur leurs serveurs, afin que des systèmes scannent en temps réel nos messages pour détecter de potentiels contenus criminels. Provisoirement, l’Assemblée nationale a enterré une telle folie. En Grande-Bretagne ou en Suède, des copier-coller de ces propositions existent. Aux États-Unis également, où elles se heurtent cependant au quatrième amendement de la Constitution interdisant toute interception indifférenciée.
Du point de vue des polices européennes, cette opération est un succès.
Oui. Des transformations techniques et juridiques ont permis de provoquer une rupture au profit de la police. Ce n’est pas la première fois. La littérature raconte très bien la longue histoire du génie policier combattant le génie du crime. Le travail des enquêteurs a toujours supposé des avancées, auxquelles les truands ont tôt ou tard répondu par de nouvelles ruses. Ici, on peut toutefois observer un changement de paradigme. Longtemps, quelles que soient les techniques, le travail policier a consisté à chercher une aiguille dans une botte de foin. Mais à l’heure du Big Data, en France, désormais, on peut aussi saisir toute la botte de foin, pour ensuite chercher les aiguilles qui intéresseront les tribunaux. Et éventuellement mettre de côté d’autres aiguilles, qui par exemple seraient compromettantes pour des gouvernements amis.
Côté judiciaire, la France tire profit de l’affaire en fournissant des éléments aux polices du monde entier.
C’est vrai. Dans le petit monde des interceptions judiciaires, la France est perçue comme une star, les autres pays la regardent avec envie. Je pense aux États-Unis qui profitent de cette captation. D’ailleurs, au mois de mars dernier, un responsable d’une unité spéciale de la DEA de Los Angeles, appelons-le JW, a répondu à une longue audition, devant une cour criminelle du Michigan qui s’interrogeait sur la recevabilité d’interceptions de Sky ECC, transmises au juge américain. Ce dernier se demandait s’il avait le droit de s’appuyer sur ces écoutes. Le cadre de la DEA a confirmé sous serment que la méthode retenue était proscrite sur le territoire des États-Unis, mais que les messages captés pouvaient être cités dans un dossier car les opérations techniques s’étaient intégralement déroulées en France.
À cette occasion, il a aussi raconté que la DEA avait encouragé la manœuvre, en particulier après une réunion au siège d’Europol au mois de février 2019. Et qu’elle avait par la suite offert à ses partenaires européens une assistance technique, à travers semble-t-il des configurations du logiciel Wiresharck, un outil employé dans la surveillance des flux électroniques.
Finalement, à Paris, la Direction de la police judiciaire française se trouve à la tête d’un lac de données - c’est le nom qu’ils lui ont donné - contenant près d’un milliard de messages Sky. Les polices de plusieurs pays, comme les Américains, sont venues y puiser des informations. Devant leurs tribunaux respectifs, elles s’appuient sur des traités internationaux de coopération. Selon ces accords, quand un pays signataire fournit une preuve à un autre, ce dernier ne peut pas remettre en cause les conditions dans lesquelles la preuve a été recueillie. Cette finesse juridique explique pourquoi en Allemagne les parquets sont devenus de gros consommateurs des écoutes Sky, alors qu’au regard du droit allemand - très scrupuleux sur le sujet - jamais une telle surveillance n’aurait pu y être autorisée.