Le lycéen de Dijon mis en garde à vue dans le cadre de l'affaire des fausses menaces à la bombe avait mis à disposition un serveur Jabber (XMPP) sécurisé, utilisé pour communiquer anonymement. Il risque jusqu'à 5 ans de prison pour son refus de fournir ses clés de déchiffrement.

Comme le rapporte Le Monde, le parquet de Paris a ouvert une information judiciaire pour « complicité de menaces de destruction dangereuses pour les personnes », « complicité de menaces de mort », et « complicité de fausse alerte », à l’encontre du jeune lycéen de Dijon qui a été interpellé lundi dernier. Il a été présenté ce mercredi 10 février devant un juge d’instruction en vue de sa mise en examen, et le Parquet a requis son placement en détention provisoire.

Mais le jeune homme de 18 ans dont le serveur XMPP a été utilisé par les auteurs des canulars est-il véritablement un « complice » actif et volontaire des fausses alertes à la bombe qui avaient visé six lycées parisiens (Louis-le-Grand, Henri-IV, Condorcet, Charlemagne, Montaigne et Fénelon) les 26 janvier et 1er février dernier ?

Ces mauvaises blagues (illégales) avaient été revendiquées sur Twitter par un groupe de hackers baptisé « Evacuation Squad », qui vend ses services à travers le monde. Il propose d’utiliser des services de VoIP comme Skype, WhatsApp, Line ou Google Hangouts pour appeler via Internet des numéros de ligne téléphoniques classiques, et réaliser de fausses menaces grâce à une voix robotisée. Les comptes utilisés pour téléphoner sont certainement des comptes dont les mots de passe ont été piratés — dans une interview à Mashable, Evacation Squad avait expliqué disposer d’une « grande quantité de crédits d’appel ».

Nous n’enregistrons ni les addresses IP, ni les communications et forçons le chiffrement sur toutes les connexions

Dans un communiqué publié sur KickAssPastes le 26 janvier dernier, le groupe expliquait qu’il ferait payer ses services à partir du 1er mars 2016, en bitcoins. 5 dollars pour faire évacuer une école, 10 dollars pour tout un campus… jusqu’à 50 dollars pour un événement sportif. « Nous détestons le gouvernement américain. Nous détestons l’autorité. Nous ADORONS causer du désordre », se justifiait le groupe.

Le communiqué indiquait que l’on pouvait les contacter soit par e-mail, soit par une messagerie instantanée compatible avec le protocole XMPP. Son identifiant pour ce dernier était Evacuation@darkness.su :

Le protocole XMPP (Extensible Messaging and Presence Protocol) qui est au cœur du réseau Jabber permet à n’importe qui de créer un serveur de messagerie instantanée compatible avec les autres, exactement sur le même modèle que les serveurs d’e-mails.

L’utilisation de l’identifiant Evacuation@darkness.su montre que le groupe Evacuation Squad a créé son identifiant Jabber en utilisant le serveur Darkness.su, qui est référencé comme l’un des quelques centaines de serveurs Jabber ouverts dans le monde. Mais ça ne veut pas absolument pas dire que le créateur de Darkness.su contrôle ou utilise l’identifiant en question, et encore rien qu’il sait qui l’utilise et à quelles fins.

Il suffit de se rendre sur cette page pour créer un compte XMPP @darkness.su, et de se connecter ensuite au serveur en utilisant les identifiants créés à partir de son client Jabber préféré. Le serveur avait également une fonction de « proxy », ce qui peut expliquer que son adresse IP ait été associée à des tweets publiés par Evacuation Squad.

Un serveur XMPP sécurisé et ouvert

« Ce serveur est un serveur XMPP gratuit et privé, hébergé en Russie. Il utilise Prosody 0.9.8 et nginx, qui tous deux sont configurés de sorte à n’accepter que les connections (sic) chiffrées et à leur assurer la confidentialité persistante, à travers l’utilisation de forts certificats SSL et des meilleurs suites cryptographiques disponibles que ce soit pour nos utilisateurs ou d’autres serveurs », peut-on lire sur Darkness.su.

« Ce serveur fut mis en place de sorte à mettre à disposition des moyens de communication gratuits, privés et sécurisés, plus notamment par le biais du protocole XMPP. C’est pourquoi nous n’enregistrons ni les addresses IP, ni les communications et forçons le chiffrement sur toutes les connections (sic) ».

Or Darkness.su est bien un service édité par un jeune Français, qui se présente sur Twitter comme un « passioné du web,de la technologie et surtout de la sécurité physique et virtuelle,propriétaire de Darkness.su ». Son militantisme en faveur de la vie privée et contre la surveillance étatique ne fait aucun doute à la vue de certains tweets, y compris quelques jours après les attentats du 13 novembre 2015.

5 ans de prison pour refus de fournir ses clés de chiffrement

Il s’agit donc très certainement du même individu que le Dijonnais placé en garde à vue. Or selon Le Monde, « il a par ailleurs refusé de fournir aux enquêteurs les clés de cryptage de son ordinateur ; ce qui lui vaut d’être également visé du chef de ”refus de remettre aux autorités judiciaires ou de mettre en œuvre la convention secrète de déchiffrement d’un moyen de cryptologie” ».

En effet, l’article 434-15-2 du code pénal punit de 3 ans de prison et 45 000 euros d’amende le fait, « pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ».

Il refuse de collaborer avec les services techniques de la police

Pire, la peine peut être portée à 5 ans de prison si « la remise ou la mise en oeuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets », ce qui peut être le cas en l’espèce, si le serveur Jabber est toujours utilisé par Evacuation Squad.

Toutefois l’article du Monde parle des clés qui concernent « son ordinateur », ce qui n’a pas la même incidence juridique que le refus de fournir les clés du serveur Jabber qu’il met à disposition des tiers. Nul ne pouvant être contraint de fournir des éléments de sa propre inculpation.

Pour le moment, de ce que l’on connaît du dossier, rien ne permet de lier plus directement le lycéen à ceux qui ont réalisé les fausses alertes à la bombe. Lui-même a nié toute responsabilité. « Le suspect dit ne pas comprendre pourquoi il est en garde à vue et nie toute implication. Il refuse de collaborer avec les services techniques de police concernant l’exploitation de son matériel informatique », avaient ainsi expliqué les enquêteurs à l’Est Républicain.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo