La police déchiffre le plus grand réseau de cryptophones au monde alors que les criminels troquent EncroChat pour Sky ECC
Lorsque la gendarmerie française, la police néerlandaise et la National Crime Agency (NCA) du Royaume-Uni ont infiltré le réseau téléphonique crypté EncroChat l’été dernier, des groupes du crime organisé du monde entier ont choisi de passer à un nouveau fournisseur de téléphonie.
Ce fournisseur était Sky ECC, maintenant le plus grand fournisseur de communications cryptographiques au monde, avec 70000 clients.
Sky ECC se présente comme la «plate-forme de messagerie la plus sécurisée que vous puissiez acheter» et est si confiante dans l’imprégnabilité de ses systèmes qu’elle offre une belle récompense à quiconque peut briser le cryptage d’un de ses téléphones.
Mais lors d’une reprise de l’opération française et néerlandaise de l’année dernière contre le réseau téléphonique crypté EncroChat, la police belge et néerlandaise a pu infiltrer la plate-forme et récolter des centaines de milliers de messages supposés incassables.
Ils ont partagé le matériel intercepté avec un «grand nombre» de services d’enquêtes à l’étranger après avoir lu le trafic crypté «en direct».
La NCA, qui a joué un rôle clé dans la perturbation d’EncroChat en collaboration avec la police néerlandaise et la gendarmerie française, n’a pas encore commenté si elle a bénéficié des renseignements de l’opération Sky.
Sky ECC a déclaré hier soir dans un communiqué que les allégations selon lesquelles les autorités belges et néerlandaises avaient piraté le logiciel de communication de l’entreprise étaient «fausses» et que son service avait été rétabli après une panne.
La société a déclaré que ses distributeurs l’avaient alertée qu’une fausse application de phishing, sous la marque Sky Ecc, avait été chargée dans des téléphones non sécurisés et vendue via des canaux non autorisés.
« Sky ECC n’a pas autorisé ni coopéré avec les autorités chargées de l’enquête ou les personnes impliquées dans la distribution de la fausse application de phishing », a déclaré la société.
La nouvelle de l’attaque a éclaté hier, provoquant la panique des utilisateurs de téléphones cryptés du monde entier lorsque la police néerlandaise a détruit et saisi un serveur Sky ECC.
Plus de 1 600 policiers belges, dans certains cas accompagnés par les forces spéciales belges, ont participé à des descentes simultanées entre 5h et 11h hier sur 200 maisons, arrêtant 48 suspects.
Parmi les personnes détenues figuraient trois avocats à Anvers qui utilisaient des cryptophones Sky ECC, selon le radiodiffuseur néerlandais HLN.
La police néerlandaise a perquisitionné 75 maisons et arrêté plus de 30 personnes, récupérant au moins 28 armes à feu lors de raids contre des trafiquants de drogue présumés à Rotterdam.
Le transport comprenait 1,2 million d’euros en espèces, ainsi que des diamants et des bijoux, huit véhicules de luxe, 14 armes, trois distributeurs automatiques de billets et des uniformes de police.
Les procureurs belges ont initialement refusé de confirmer ou de nier que Sky ECC avait été violé, mais ont confirmé lors d’une conférence de presse hier soir que la police avait interrompu le décryptage du réseau.
Les revendeurs Sky ECC ont déclaré aux clients que le réseau n’avait pas été compromis, affirmant que des gens avaient distribué une fausse version du logiciel Sky sur des téléphones non autorisés – mettant certains utilisateurs en danger.
« Peu de gens croient ce message car il semble plutôt pratique comme excuse », a déclaré une source à Computer Weekly. «Il semble trop tard pour leur entreprise, car beaucoup de ces téléphones seront tombés à l’eau ce matin.»
La planification a commencé il y a plus de deux ans
Eric Van Duyse, porte-parole du parquet fédéral belge, a décrit l’opération – supervisée par un juge d’instruction de la ville de Menchlen – comme la plus grande enquête policière jamais entreprise dans le pays.
La police belge a déclaré avoir pris des mesures après que des cryptophones aient été utilisés de plus en plus par des groupes criminels.
Quelque 185 téléphones cryptés ont été récupérés lors d’opérations policières à travers le pays, dont beaucoup étaient équipés du logiciel de cryptage Sky ECC.
L’opération contre Sky ECC a reçu le feu vert des procureurs belges l’année dernière, après deux ans et demi de planification.
L’attaque a reflété l’infiltration française et néerlandaise d’EncroChat l’année dernière en menant une attaque en deux étapes sur le réseau.
Au cours de la première phase, la police a intercepté et stocké des communications cryptées du réseau Sky ECC, tandis que des experts cherchaient à les décrypter.
Au cours de la deuxième phase, qui a duré trois semaines, la police a pu lire les données «en direct» envoyées sur le réseau Sky ECC.
Collaboration internationale
Le décryptage des messages nécessitait une coopération internationale grâce à la recherche et à la collaboration entre experts en cryptage, a déclaré hier soir le procureur fédéral belge Frédéric Van Leeuw.
Avec plus de trois millions de messages envoyés chaque jour dans le monde à travers Sky ECC, les enquêteurs ont déclaré qu’ils devaient prioriser. «La priorité absolue était les messages qui montraient un danger potentiel pour la vie», a déclaré Van Leeuw.
La police judiciaire fédérale belge a mis en place des postes de commandement à Bruxelles et à Anvers pour réagir rapidement si des messages décryptés révélaient une menace urgente pour la vie.
Les enquêteurs ont également tenté d’identifier des utilisateurs sélectionnés et d’identifier les activités criminelles en analysant le contenu de leurs messages.
La police a stocké et examiné «des centaines de millions» de messages provenant de téléphones Sky ECC dans un entrepôt de données dans le cadre de son opération anti-drogue.
«Les informations obtenues devraient avoir un impact sur le crime organisé dans un proche avenir», a déclaré la police. «Les informations sont également partagées avec un grand nombre de services d’enquête étrangers.»
Selon les procureurs belges, il existe plus de 70 000 appareils Sky ECC actifs dans le monde, principalement en Europe, en Amérique du Nord, en Amérique centrale, en particulier en Colombie et au Moyen-Orient.
Van Leeuw a déclaré qu’il est à noter qu’environ 25% des utilisateurs actifs de ces appareils sont basés en Belgique, qui compte 6 000 utilisateurs, et aux Pays-Bas, qui compte plus de 11 000 utilisateurs.
Les téléphones sont les plus largement utilisés autour du port d’Anvers – une destination importante pour la criminalité liée à la drogue.
Les téléphones Sky ont prétendu être les plus sécurisés disponibles
Sky ECC, qui opère au Canada et aux États-Unis, se présente comme la «plate-forme de messagerie la plus sécurisée que vous puissiez acheter».
La société est si sûre de sa sécurité imbattable qu’elle a offert un prix de 5 millions de dollars à quiconque pourrait pirater l’un de ses téléphones dans les 90 jours.
Son site Web présente une série d’études de cas faisant la promotion de la valeur du téléphone crypté auprès des avocats, des universités, des organisations médicales, des dirigeants d’entreprise et des journalistes en tant qu’outil de protection des sources confidentielles.
Il fournit des téléphones qui offrent des messages autodestructeurs, des messages audio sécurisés, un coffre-fort crypté sécurisé et une application qui, en «mode furtif», peut se déguiser en calculatrice.
Les téléphones modifiés, disponibles sous Android, Blackberry et iOS, peuvent être achetés en ligne ou via des «partenaires autorisés» entre 900 € et 2 000 €, selon le modèle.
La société affirme qu’elle stocke l’application Sky ECC dans un conteneur sécurisé sur le téléphone, ce qui la protège des logiciels malveillants, tels que les enregistreurs de frappe ou les outils de surveillance, tels que le logiciel espion Pegasus largement utilisé fourni par la société israélienne NSO Group.
Tous les messages sont cryptés à l’aide de la cryptographie à courbe elliptique de 512 bits, tandis que les connexions réseau sont sécurisées par un cryptage SSL de 2 048 bits.
L’un des arguments de vente de la société est qu’elle ne stocke pas de messages cryptés sur ses serveurs.
Il dit: «Si votre contact n’est pas joignable (par exemple si son appareil est éteint), nous conservons le message chiffré pendant 48 heures, puis le supprimons. S’ils ne le lisent pas dans ce laps de temps, le message ne peut pas être récupéré. »
Sky ECC a été fondée en 2008 et nomme son PDG et fondateur Jean-François Eap. En plus d’offrir des téléphones mobiles sécurisés, la société fait la promotion de Moola, une application sécurisée qui permet aux gens d’acheter, de stocker et de sauvegarder des cartes-cadeaux.
Sky ECC: « Nous interdisons les activités criminelles »
La société a déclaré hier soir dans un communiqué qu’elle nie fermement toute allégation selon laquelle elle est la «plate-forme de choix pour les criminels» et qu’elle a une politique stricte de tolérance zéro qui interdit toute activité criminelle sur ses plates-formes. «Tous les comptes utilisés pour des activités criminelles sont immédiatement désactivés», a-t-il déclaré.
Sky ECC a déclaré qu’elle «enquêtait activement et poursuivait des poursuites judiciaires contre les personnes incriminées pour usurpation d’identité, fausses lumières, contrefaçon de marque, mensonge préjudiciable, diffamation et fraude».
La société a déclaré que son service avait subi des interruptions temporaires en relation avec ses serveurs le 8 mars 2021 de 4 heures du matin à 12 heures GMT, mais que les services étaient maintenant revenus à la normale.
Parallèles avec EncroChat
L’opération policière contre Sky ECC a de forts parallèles avec une opération conjointe entre la police française et néerlandaise contre le réseau téléphonique crypté EncroChat l’année dernière.
L’ANC du Royaume-Uni utilise une ordonnance d’enquête européenne pour collaborer avec une équipe d’enquête conjointe dirigée par la police française et néerlandaise.
La gendarmerie française, qui a mené l’enquête, a transmis les paquets Europol de messages extraits des téléphones EncroChat, qu’elle a assemblés dans des paquets spécifiques au Royaume-Uni et transmis à l’ANC.
La NCA s’est appuyée sur le soutien de 10 unités régionales et du crime organisé et de la police métropolitaine pour procéder à plus de 1 000 arrestations, saisir 55 millions de livres sterling en espèces, des armes à feu et deux tonnes de drogue.
La partie britannique de l’opération EncroChat, baptisée Venetic, s’est révélée controversée en raison des lois britanniques qui, de manière unique, empêchent l’utilisation de preuves d’interception dans les procédures pénales.
Le 6 février, cependant, trois juges de la cour d’appel ont estimé que les messages recueillis par les enquêteurs français et néerlandais et transmis à l’ANC avaient été légalement obtenus par «interférence avec l’équipement» alors qu’ils étaient conservés dans la mémoire des téléphones plutôt que par «interception» des messages pendant leur transmission.
La police néerlandaise a déclaré hier dans un communiqué qu’à la suite de son opération contre Encrochat – nom de code Lemont – les enquêteurs ont pu lire les communications «en direct» d’un grand nombre de criminels en utilisant les téléphones EncroChat.
«De nombreux utilisateurs d’EncroChat sont passés à Sky ECC l’année dernière», a déclaré la police. «L’entreprise est désormais le plus grand fournisseur de communications cryptographiques au monde, avec 70 000 utilisateurs.»
L’objectif était de démanteler Sky ECC
Les enquêteurs belges ont déclaré que leur objectif principal était de détruire l’infrastructure Sky ECC, de la démanteler et de confisquer les produits criminels des revendeurs Sky ECC.
« Dans les semaines et mois à venir, plusieurs nouvelles affaires seront ouvertes ou de nouvelles accusations seront portées contre des affaires existantes », ont déclaré hier les procureurs.
«Plusieurs nouveaux actes criminels ont été découverts dans les messages de chat des téléphones Sky ECC qui ont été trouvés.»
Van Leeuw a déclaré que les enquêteurs avaient intercepté environ un million de messages cryptés, dont la moitié ont été décryptés.
Les messages décryptés ont donné «une compréhension beaucoup plus claire du fonctionnement interne des organisations criminelles, de leur caractère mondial, de leurs moyens financiers illimités, de leur manque de scrupules et de leur agressivité», a-t-il déclaré.
L’affaire a débuté au département fédéral de la justice belge à Anvers, mais d’autres services judiciaires ont été appelés en raison de la complexité de l’enquête, y compris le centre belge pour la cybersécurité.
Les enquêteurs ont tenté de montrer que les téléphones Sky ECC étaient exclusivement utilisés pour des communications criminelles et que Sky ECC savait que c’était le cas.
L’équipe d’enquête belge a lancé un appel urgent à tous ceux qui possèdent un téléphone Sky ECC et qui l’utilisent à des fins juridiques à le signaler au plus vite à la justice fédérale d’Anvers.
Les enquêteurs néerlandais ont déclaré que plusieurs centaines de policiers qui étaient en attente ces derniers mois avaient maintenant été déployés pour donner suite aux messages interceptés.
Le Big Data était la clé de l’enquête
Eric Snoeck, le directeur général de la police judiciaire fédérale basé à Bruxelles, a déclaré que la police avait mis fin aux activités d’une entreprise de télécommunications soupçonnée d’être impliquée dans le commerce mondial de la drogue.
« Les organisations criminelles internationales que nous combattons au quotidien utilisent des processus numériques extrêmement complexes », a-t-il déclaré. «Celles-ci nous posent de grands défis techniques et technologiques. Les mégadonnées générées par les nouvelles technologies nécessitent davantage d’expertise en matière de gestion des données et d’intelligence. »
Yve Driesen, directeur judiciaire de la police judiciaire fédérale, a déclaré que l’enquête avait donné un aperçu de l’économie criminelle parallèle.
«Dans le monde criminel à Anvers, nous avons vu des criminels gérer simultanément plusieurs envois de drogues – des tonnes de cocaïne à la fois», a-t-il déclaré.
Traductions du néerlandais vers l’anglais par Edda Killian