Milipol. Sept lettres bien connue du marché de la sécurité. Chaque année, ce salon professionnel de la sûreté est visité par 30.000 personnes de 150 pays, qui découvrent les derniers « joujoux » sécuritaires, de la reconnaissance faciale aux LBD. En novembre 2019, la police nationale y a fièrement présenté ses acquisitions en matière d’innovations technologiques. Parmi elles, le « kiosque », un « logiciel capable d’aspirer toutes les données d’un téléphone portable en moins de dix minutes », explique Reporterre, qui s’est promené dans les couloirs du salon. « Avec ce kiosque qui sera installé dans les commissariats de premier niveau, il suffira de brancher le téléphone et toutes les données seront extraites pendant la garde à vue : SMS, photos géolocalisées… Autant d’informations qui peuvent être utiles pour conduire l’interrogatoire », déclarait Clémence Mermet-Grenot, commissaire divisionnaire au sein du service de la criminalité numérique de la police.

Déjà présents dans le nord de la France, une centaine de ces dispositifs vont être installés cette année en Île-de-France et dans le Sud. Et d’ici 2024, 500 « kiosques » couvriront le territoire national. StreetPress s’est penché sur ces appareils qui aspirent vos données personnelles, que vous le vouliez ou non.

Les Ufed de Cellebrite

Ces « kiosques » font partie de la gamme des Ufed (Universal Forensic Extraction Device) : des dispositifs d’extraction universels d’investigation numérique. Ces outils sont des boîtiers portatifs ou des ordinateurs qui abritent des programmes d’extraction de données téléphoniques, développés par la compagnie israélienne qui les commercialise : Cellebrite (prononcez braïte, comme le sourire).

CELLEBRITE

Fondé en 1999 en Israël, Cellebrite appartient depuis 2007 à un groupe japonais : Sun Corporation. L’entreprise est un des leaders du marché mondial avec les Suédois de MSAB et s’est fait mondialement connaître en aidant le FBI à craquer le téléphone d’un des deux terroristes de San Bernardino, après un bras de fer entre l’agence gouvernementale et Apple. Il y a 35.000 exemplaires d’Ufed israéliens dans le monde, qui sont utilisés dans plus de 100 pays par des entreprises, des armées, des services de police et aussi des organisations gouvernementales ou internationales comme Interpol.

Le processus est simple, le téléphone est connecté à l’ordinateur ou la tablette. Ensuite, l’Ufed utilise les failles de sécurité des téléphones portables pour réaliser une copie du disque dur. Tout y passe : les photos, les vidéos, les emails, l’historique des navigations internet ou de la géolocalisation, les historiques de mots de passe, le carnet d’adresse, les données, les notes et les message des applis comme Snapchat, Facebook – même ceux des apps réputées « chiffrées » comme Signal ou Telegram… Et surtout, les Ufed permettent de retrouver un certain nombre de données supprimées, que ce soit des messages ou des contacts téléphoniques. En tout, plus de 17.000 modèles de téléphones, tablettes ou GPS peuvent être craqués en quelques minutes. Même les modèles les plus récents d’Androïd ou d’Apple sont à sa merci. En juin 2019, Cellebrite s’est publiquement félicité de pouvoir débloquer n’importe quel Iphone.

Deux appels d’offres pour un même système

En France, le kiosque de Cellebrite a d’abord été testé du côté de Coquelles (62), dans le Pas-de-Calais. Objectif : éplucher les téléphones des passeurs à l’entrée du tunnel sous la Manche, dit-on du côté des autorités. Mais impossible d’en savoir plus sur ces expérimentations. Le service central de la police technique et scientifique ne souhaite pas s’exprimer sur les Ufed car il estime n’avoir « pas assez de recul ». Du côté des tribunaux, le procureur de Boulogne-sur-Mer – dont dépend Coquelles – n’a « aucun élément de réponse » à apporter à StreetPress. Dans la juridiction voisine, à Lille, on oppose une fin de non-recevoir. En plus du Nord, les Ufed ont été testés à Biarritz lors du G7, afin de « traiter les téléphones des personnes gardées à vue », a expliqué la commissaire Clémence Mermet-Grenot à Reporterre. Les retours y ont été jugés « très positifs ». Mais nous n’en saurons également pas plus. Précisons que ces systèmes ont été achetés avant les « tests » du G7.

Les Ufed peuvent craquer plus de 17.000 modèles de téléphones, tablettes ou GPS en quelques minutes. / Crédits : Cellebrite

En juin 2019, deux marchés publics sont conclus entre l’État et Cellebrite. Le premier concerne la « fourniture d’équipements » pour la police, la gendarmerie, la douane mais aussi l’administration pénitentiaire. Coût de l’opération : plus de cinq millions d’euros. Le second, porte (pour plus de 2 millions d’euros) sur « les mises à jour et les migrations » des systèmes d’extraction et d’analyse de données téléphoniques qui existent déjà en France. Là encore, on retrouve la gendarmerie, la police, la douane mais aussi la Direction de la coopération de sécurité et de défense (DCSD), qui opère à l’international.

Au total, la France a donc passé des commandes d’Ufed à Cellebrite pour sept millions d’euros, et non pas quatre comme la police l’a affirmé à Reporterre. La différence de prix indique-t-elle un nombre total de « kiosques » supérieur aux 500 annoncés dans l’Hexagone ? La police nationale n’a pas répondu à nos questions sur ce point. Du côté de la gendarmerie, on ne souhaite pas non plus s’exprimer sur une question « qui dépasse la seule institution gendarmerie », en raison du marché public commun avec la police. Mais les képis confirment qu’ils utilisent, « entre autres », les Ufed de Cellebrite. Et ce depuis longtemps.

Les Ufed sont utilisés en France depuis plus de dix ans

Cellebrite est implanté en France depuis 2009. À l’époque, c’est son concurrent MSAB qui a les faveurs des enquêteurs avec le X-RY, un logiciel similaire qui liste les appels entrants, sortants, les textos et les photos. Ce dernier a été utilisé en 2008 par la police sur le téléphone de Bertrand D., un des inculpés de l’affaire de Tarnac, comme le raconte David Dufresne dans son livre-enquête : Tarnac, magasin général. La société israélienne souhaite alors s’installer rapidement dans l’Hexagone, qu’elle considère comme « l’un des trois marchés clés en Europe ».

À LIRE AUSSI : David Dufresne, vivre libre ou mourir

C’est chose faite en 2011. Cellebrite dame le pion à ses concurrents : après un an de tests, la gendarmerie signe un contrat avec le fournisseur israélien. « En terme d’inforensique (l’investigation numérique, ndlr), la police nationale n’est vraiment pas au niveau, contrairement à la gendarmerie. Eux, ils sont très forts », confie une spécialiste de la cybersécurité. 116 Ufed viennent équiper les « C-NTECH », les cybergendarmes qui sont déployés en France depuis 2006. D’ailleurs, le saviez-vous : ces systèmes ont en partie été financés par les business de substances illicites. Ils sont payés avec des crédits de la Mission interministérielle de lutte contre la drogue et la toxicomanie (Mildt), qui s’occupe de saisir l’argent et le patrimoine des trafiquants de drogues.

Dans les médias, les Ufed sont vendus comme une « arme fatale ». Une « mallette magique » qui permet de retrouver des cambrioleurs quand ils ont perdu un smartphone ou de retrouver des photos pédopornographiques effacées pour confondre un pédophile. « Ça sert aussi sur les histoires de viol pour récupérer des preuves a posteriori », d’après ce qu’ont déclaré les policiers au journaliste Olivier Tesquet, journaliste à Télérama et spécialiste des questions numériques, lors du salon Milipol.

Désengorger les services spécialisés

Jusqu’à présent, les Ufed n’étaient utilisés (sauf exception) que par des services spécialisés : il n’y en avait que 35 pour la police nationale sur tout le territoire. La commande de plusieurs centaines de ces dispositifs va « changer beaucoup de choses » selon un policier, en terme « de rapidité d’exploitations des données » et « d’accessibilité du processus ». « Auparavant, quand on avait un appareil qui était saisi dans le cadre d’une perquisition ou d’un flagrant délit, il devait impérativement être envoyé à un service spécialisé d’enquête et d’inforensique (l’investigation numérique, ndlr) qui était chargé d’explorer ces téléphones », détaille le pandore anonyme. L’aller-retour entre les services peut prendre trois à quatre semaines. Les kiosques de Cellebrite vont rendre le processus d’exploitation bien plus abordable :

« On a juste à brancher le téléphone dans cet ordinateur pour en obtenir toutes les informations. Désormais, n’importe quel fonctionnaire de police peut utiliser le logiciel. D’une part, il n’y a plus besoin de technicité, cela va permettre de désengorger les services qui s’occupent de ces questions-là. Et en plus, cela permet aux collègues d’avoir un accès immédiat à l’information. »

« C’est vrai qu’il n’y a rien de nouveau en réalité. Tous ces dispositifs existent déjà. Mais c’est désormais livré clé en main. C’est ça la nouveauté, cet aspect un peu “Thermomix” », confirme dans un sourire Florence Sèdes, chercheuse à l’institut de recherche en informatique de Toulouse (IRIT).

Des « problèmes éthiques »

L’utilisation de ces systèmes pose tout de même « un certain nombre de problèmes d’un point de vue éthique, parce que ce genre de matériel utilise des failles de sécurité pour fonctionner », prévient le policier anonyme. « C’est pour ça que la machine reste régulièrement mise à jour, pour pouvoir aller récupérer les failles de sécurité des constructeurs de téléphones identifiées par Cellebrite ». Les forces de l’ordre pourront donc exploiter les portables même si une personne refuse de donner son mot de passe ou son code PIN. Ce droit à ne pas s’auto-incriminer avait déjà été battu en brèche par la Cour de cassation en décembre dernier.

À LIRE AUSSI : Reconnaissance faciale, fichage généralisé et géolocalisation à notre insu débarquent en France

L’autre problème éthique soulevé par l’utilisation des Ufed relève de l’extraction des données : lesquelles seront jugées pertinentes ? « Il faut voir comment se fait le tri des données. Quand un téléphone est “craqué”, il y a toute une tonne d’informations qui sort, qui relèvent de la vie privée parfois et ne sont pas en lien avec l’enquête », note la chercheuse Florence Sèdes. « Il y a très certainement des questions de vie privée qui vont se poser », concède le fonctionnaire de police. Le logiciel permet pourtant « de sélectionner précisément ce qu’on cherche sur le téléphone, par des mots-clés ou sur des périodes précises, comme les messages échangés dans les trois derniers jours, par exemple ». Mais cela ne règle pas les questions de protection des données personnelles, selon ce policier :

« Même si le logiciel le permet, ça ne veut pas dire que les collègues sur le terrain vont forcément l’utiliser de cette façon-là, le plus facile reste de tout extraire et de faire le tri après. »

D’autres dérives potentielles

Le logiciel ouvre la porte à d’autres dérives. Notamment en matière de contrôle des réfugiés. En mars 2019, des représentants de l’entreprise israélienne se sont exprimés au Maroc devant un parterre de dirigeants du monde entier, comme l’a noté Privacy International – une ONG qui milite pour la défense des droits de l’homme. Ils ont expliqué, PowerPoint à l’appui, que 77 pourcents des réfugiés arrivent sans documents d’identité tandis que 80 pourcents ont un téléphone. « À la place des documents d’identité, le téléphone d’une personne pourrait être utilisé pour savoir qui ils sont, ce qu’ils ont fait, où ils ont été, quand, et finalement pourquoi ils demandent l’asile », s’inquiète l’ONG.

Du côté de la Cimade, on confie « ne pas être au courant de ces questions pour l’instant ». « Tant que cela reste dans le cadre d’un délit commis et de la garde à vue, ça ne concerne pas les migrants », estime un représentant de l’association, qui craint néanmoins une utilisation pour les « dublinés » – les réfugiés qui doivent déposer une demande d’asile dans le premier pays où ils ont été contrôlés. « Si un migrant est contrôlé et qu’on voit que son téléphone a été en Italie pendant six mois, ce serait peut-être plus facile de l’envoyer là-bas. Mais ça supposerait un changement de la réglementation européenne », concède-t-il. La technologie de Cellebrite a aussi été utilisée dans certains pays contre les opposants politiques. À Bahreïn, elle a servi à poursuivre le dissident Mohammed Al-Singace, torturé par les autorités, rapporte le média The Intercept. En France, la généralisation des Ufed inquiète. « Une fois qu’on a combiné cet aspect-là avec le fait, qu’aujourd’hui, en France, il peut y avoir une judiciarisation des mouvements comme les manifestations, et ce pour pas-grand-chose, ça fait un cocktail potentiellement explosif », estime le journaliste Olivier Tesquet. « On peut se retrouver avec un gars dans une manif qui a été arrêté, la police n’a rien mais ils vont tout extraire dans le doute en se disant qu’ils trouveront bien un truc. »

Les Ufed peuvent permettre d'extraire des messages de périodes ciblées. / Crédits : Cellebrite

Le tableau est même plus noir pour la Quadrature du net, une association de défense des libertés en ligne : « Ce qu’on peut craindre, c’est qu’une personne soit placée en garde à vue pour quelque chose d’un peu loufoque pour accéder à ses messages et contacts pour que la police identifie d’autres personnes à arrêter. On prend un gars dans la rue qui a une tête de gauchiste, on se dit qu’il est peut-être dans des discussions privées sur son téléphone avec des gars un peu plus radicaux et on remonte le fil », imaginent ses membres. On peut aussi craindre que les informations rentrent dans le fichier de traitement des antécédents judiciaires (TAJ), un fichier tenu par la police, où l’on trouve les personnes mises en cause et les victimes dans les affaires pénales, ce qui permettrait là-encore de « retracer les réseaux de militants ». En théorie, les procureurs veillent à ce que le TAJ ne se délimite qu’aux enquêtes, « sauf que pendant des années, ils n’avaient même pas le logiciel pour y accéder », détaille la Quadrature.

Quid du droit européen ?

Mais est ce bien légal ? La Quadrature du net explique qu’une directive européenne, la 2016-680, précise que les autorités ne peuvent collecter des données dites sensibles (biométriques, politiques, religieuses, orientation sexuelle…) qu’en cas de nécessité absolue. Or ce qui est prévu ici, dépasse largement ce périmètre.

Selon l’association, l’utilisation des Ufed pour collecter massivement les données sensibles des personnes est interdite par ce texte. « Mais cette directive est assez peu connue et peu appliquée. Ce qu’on craint, c’est qu’un juge n’ait jamais entendu parler de ça et ne nous écoute pas trop. Mais sur le papier, ça nous semble plié ».

De son côté, la police a précisé à Checknews qu’il n’y a « aucune modification des règles actuelles qui permettent d’extraire des données ». Ce qui ne convainc pas la Quadrature :

« Sur les données personnelles, les règles ont beaucoup changé alors que la police a mis en place des choses il y a longtemps où les règles n’existaient pas. C’est possible que la police ne soit même pas au courant qu’ils violent la loi. »

Image d’illustration issue du compte Facebook de la Gendarmerie des Alpes-Maritimes