Messagerie chiffrée : Un lycéen français risque la prison

1
105

Suite aux fausses alertes à la bombes parisiennes et menaces anonymes, un lycéen de Dijon a été mis en garde à vue. Ce dernier avait mis à disposition un serveur Jabber (XMPP) sécurisé, utilisé pour communiquer anonymement. Il risque jusqu’à 5 ans de prison pour son refus de fournir ses clés de déchiffrement.

Comme le rapporte Le Monde, le parquet de Paris a ouvert une information judiciaire pour « complicité de menaces de destruction dangereuses pour les personnes », « complicité de menaces de mort », et « complicité de fausse alerte », à l’encontre du jeune lycéen de Dijon qui a été interpellé lundi dernier. Il a été présenté ce mercredi 10 février devant un juge d’instruction en vue de sa mise en examen, et le Parquet a requis son placement en détention provisoire.

Son lien avec Evacuation Squad

Mais le jeune homme de 18 ans dont le serveur XMPP a été utilisé par les auteurs des canulars est-il véritablement un « complice » actif et volontaire des fausses alertes à la bombe qui avaient visé six lycées parisiens (Louis-le-Grand, Henri-IV, Condorcet, Charlemagne, Montaigne et Fénelon) les 26 janvier et 1er février dernier ?

Rappelons que ces fausses alertes terroristes avaient été revendiquées sur Twitter par un groupe de pirates baptisé « Evacuation Squad », qui vend ses services illicites à travers le monde. Il propose par exemple d’utiliser des services de VoIP comme Skype, WhatsApp, Line ou Google Hangouts pour appeler des numéros de ligne téléphoniques classiques, et réaliser de fausses menaces grâce à une voix robotisée. Les comptes utilisés pour téléphoner sont certainement des comptes dont les mots de passe ont été piratés —  dans une interview à Mashable, Evacation Squad avait expliqué disposer d’une «  grande quantité de crédits d’appel ».

darkness

Dans un communiqué publié sur KickAssPastes le 26 janvier dernier, le groupe expliquait qu’il ferait payer ses services à partir du 1er mars 2016, en bitcoins. 5 dollars pour faire évacuer une école, 10 dollars pour tout un campus… jusqu’à 50 dollars pour un événement sportif.

« Nous détestons le gouvernement américain. Nous détestons l’autorité. Nous ADORONS causer du désordre », se justifiait le groupe.

Le protocole XMPP (Extensible Messaging and Presence Protocol) qui est au cœur du réseau Jabber permet à n’importe qui de créer un serveur de messagerie instantanée et l’utilisation de l’identifiant Evacuation@darkness.su montre que le groupe Evacuation Squad a créé son identifiant Jabber en utilisant le serveur Darkness.su, qui est référencé comme l’un des quelques centaines de serveurs Jabber ouverts dans le monde. Mais ça ne veut pas absolument pas dire que le créateur de Darkness.su contrôle ou utilise l’identifiant en question, et encore rien qu’il sait qui l’utilise et à quelles fins. Tout le monde peut en faire de même en y créant une adresse !

« Ce serveur est un serveur XMPP gratuit et privé, hébergé en Russie. Il utilise Prosody 0.9.8 et nginx, qui tous deux sont configurés de sorte à n’accepter que les connections (sic) chiffrées et à leur assurer la confidentialité persistante, à travers l’utilisation de forts certificats SSL et des meilleurs suites cryptographiques disponibles que ce soit pour nos utilisateurs ou d’autres serveurs », peut-on lire surDarkness.su.

« Ce serveur fut mis en place de sorte à mettre à disposition des moyens de communication gratuits, privés et sécurisés, plus notamment par le biais du protocole XMPP. C’est pourquoi nous n’enregistrons ni les addresses IP, ni les communications et forçons le chiffrement sur toutes les connections ».

darkness-compte

Or, le fait est que le service Darness.su est bien celui géré par le jeune français, qui se présente sur Twitter comme un « passionné du web,de la technologie et surtout de la sécurité physique et virtuelle,propriétaire de Darkness.su ». Il milite par ailleurs activement en faveur de la vie privée et contre la surveillance étatique.

5 ans de prison pour refus de fournir les clés de chiffrement

Toujours selon Le Monde, « il a par ailleurs refusé de fournir aux enquêteurs les clés de cryptage de son ordinateur ; ce qui lui vaut d’être également visé du chef de ”refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie” ».

En effet, l’article 434-15-2 du code pénal punit de 3 ans de prison et 45 000 euros d’amende le fait, « pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». De plus, la peine peut être portée à 5 ans de prison si «  la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets », ce qui peut être le cas en l’espèce, si le serveur Jabber est toujours utilisé par Evacuation Squad.

Quoi qu’il en soit, le suspect nie catégorie toute implication dans l’affaire : 

« Le suspect dit ne pas comprendre pourquoi il est en garde à vue et nie toute implication. Il refuse de collaborer avec les services techniques de police concernant l’exploitation de son matériel informatique », avaient ainsi expliqué les enquêteurs à l’Est Républicain.

 

Article original : Numerama

1 COMMENTAIRE

Les commentaires sont fermés.