Exclusif PC INpact : « Bonjour collègue, on vient de procéder à une interpellation sur l’A86, on voudrait que tu nous sortes deux STIC (…) on ne sait pas si tu es capable de le faire ». Des internautes ont visiblement réussi à récupérer les données STIC (Système de Traitement des Infractions Constatées) de plusieurs personnalités du rap… par simple coup de fil. Le Parquet a ouvert plusieurs enquêtes et l'IGS est saisie. Explications.

Le principe fait appel à une technique bien connue en informatique. C’est l'ingénierie sociale (ou social engineering en anglais) qui, rappelle Wikipedia « est une forme d'acquisition déloyale d'information » qui « exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé » ici le STIC.

STIC ? Le Système de Traitement des Infractions Constatées est un fichier géant répertoriant les données issues des enquêtes menées par la police. Il sert à la fois aux enquêtes judiciaires (recherche des auteurs d'infractions), comme aux investigations administratives (enquêtes préalables) dans certains contextes. Par exemple quand une personne postule pour certains emplois publics ou sensibles. Près de 6,5 millions de personnes mises en cause y sont enregistrées ainsi que 30 millions de victimes. Autant dire un océan d’information qui normalement doit être colmaté contre le risque de fuite.

Exploiter le maillon faible de la chaîne de sécurité du STIC

Pour autant, des individus sont visiblement parvenus à déjouer les protections informatiques les plus solides en visant le maillon faible de la chaîne de sécurité. Selon ce qui ressort de plusieurs enregistrements, ils téléphonent à un commissariat, mettent les personnes en confiance en multipliant les « collègues » voire le tutoiement. Ils simulent une urgence pour réclamer le contenu du STIC. À cette fin, ils épèlent le vrai nom d'un chanteur ainsi que sa date de naissance, deux données récupérées facilement sur Wikipédia par exemple. Et quand le correspondant fait preuve de résistance, ils roulent des épaules, jouent d'arguments d’autorité pour ordonner au policier subalterne cette communication...

Selon les bruits ambiants, les appels semblent passer via Skype. La Fouine, Morsay, Booba et Rhoff sont parmi les potentielles victimes de ce « viol vocal » (et nom d'un site internet éponyme). Mis en confiance, les policiers contactés dévoilent donc le contenu des fichiers STIC avec la liste des infractions en relation avec les personnes mises en cause. Le rappeur Cortex a été aussi victime d’une telle pratique comme il le reconnait dans cette vidéo postée depuis son compte YouTube officiel :

A ceci près que la vidéo du « viol vocal » de son STIC a été retirée (nous n'avons pas eu de retour des autres chanteurs pour l'instant.)

Les recommandations de la CNIL

Fait notable, cette possible fuite d’informations confidentielles, aspirées par simple coup de fil, intervient alors que la CNIL vient de lancer de nouveaux contrôles sur le fichier STIC. Comme lors d’un précédent contrôle, la Commission informatique et Libertés veut notamment s’assurer d’« une meilleure confidentialité des données contenues dans le fichier en limitant au strict nécessaire le nombre d'agents autorisés à le consulter ». Dans le passé, un commandant de police avait été poursuivi pour avoir fourni à des journalistes des données contenues dans le STIC. Il avait été mis en examen pour « détournement de données confidentielles » et « violation du secret professionnel ».

Contactée, la CNIL nous explique qu’elle n’est pas alertée des cinq cas évoqués. « En revanche, la pratique consistant à se faire passer pour quelqu’un pour obtenir des informations issues du STIC est connue de la CNIL, mais il s’agit plus souvent d’enquêteurs privés ».

Ce genre d’astuce était donc connue même de la Commission chargée de protéger les données personnelles. Que recommande du coup la Commission pour colmater cette fuite ? « Pour éviter ce type d’abus, nous recommandons traditionnellement de tenir un registre des consultations indirectes (par téléphone) de fichiers à la demande de policiers inconnus du service requis (la main courante informatisée peut en faire office) ». La CNIL juge aussi utile « de demander systématiquement le matricule du fonctionnaire et ses noms, prénoms, grades et fonction » et « de pratiquer un contre-appel sur un téléphone portable ». Cependant, on le voit, il est simple d’utiliser frauduleusement un téléphone mobile et même d’inventer un nom.

Quatre enquêtes du Parquet à Paris, l'IGS saisie

Du côté de la Préfecture de Police de Paris, cette diffusion ne fait pas du tout rire. Nous apprenons qu’à la suite de ces vidéos, « une enquête est en cours à la demande des quatre parquets de l’agglomération parisienne ». Mieux : « L’inspection générale des services (IGS) est également saisie pour des faits qui pourraient être éventuellement reprochés au policier. »

Pour les qualifications pénales retenues soit à l’encontre des policiers soit des personnes qui les ont sollicités « tout dépendra de la qualification retenue » mais « il est évidemment illicite de faire passer de telles informations » nous indique la Préfecture. Usurpation d’identité, fausse identité de fonctionnaire, accès à un fichier STIC, diffusion de ces données, etc. « Pour les policiers, on verra s’ils seront ou non poursuivis. Tout dépendra des parquets ». Pour sa part, la Prefecture estime qu’ils ont été « abusés », qu’ils étaient « de bonne foi ».

Mais comment se fait-il que de telles informations soient données aussi facilement ? « Pour le moment pas de réponse ». Autre chose, la « préfecture de Police de Paris n’a pas été la seule à être victime. Il y a eu d’autres genres d’appel en province » apprend-on.

Enfin, dernier détail important : le STIC relate des infractions constatées, non des condamnations contrairement à ce qu’indiquent les auteurs de ces « canulars ». Quand tel chanteur est mis en cause, cela veut dire qu’il y a eu une enquête, ni plus ni moins. « Il a été mis en cause, non condamné et nous n’avons pas accès au fichier de la justice qui centralise ces informations » qu’on retrouve dans le casier judiciaire. « Une voisine vous met en cause, vous serez fiché au STIC comme auteur potentiel » relativise la Préfecture.

Outre ses bugs de mise à jour, si le STIC n’est pas encore le reflet du casier juridique, on sait que sa fusion avec JUDEX est programmée. Ce qui accentue d’autant l'urgence de colmater ses fuites.