Les rapports de la DCRI sur Anonymous

Le 14 juin 2012

Depuis un an, la DCRI enquête sur un collectif d'Anonymous dans le cadre d'une procédure ouverte au Tribunal de grande instance de Paris. Au total : 211 notes, compte rendus et procès-verbaux. Des documents obtenus par Owni, dont nous publions de larges extraits, et qui illustrent la perception des nouvelles formes d'activisme par l'appareil sécuritaire français.

Selon des sources au sein du Tribunal de grande instance de Paris, vendredi 8 juin le juge David Benichou a achevé ses investigations dans la première procédure judiciaire menée en France contre des Anonymous, et confiée à la Direction centrale du renseignement intérieur (DCRI). Ce dossier avait été ouvert à la suite d’actions menées par des Anonymous, il y a près d’un an, contre les serveurs des géants du nucléaire.

DCRI contre Anonymous

DCRI contre Anonymous

La Direction centrale du renseignement intérieur (DCRI) part en guerre contre les Anonymous. Jeudi, deux membres supposés ...

Owni a obtenu tous les rapports d’enquête et procès-verbaux, 211 au total, retraçant les missions de la DCRI dans cette affaire. Au-delà des méthodes et des techniques d’enquête qu’ils révèlent, ces documents mettent surtout en évidence la disproportion entre la perturbation provoquée par des Anonymous et les moyens mis en œuvre par ce service spécialisé dans la lutte contre le terrorisme et dans la protection des intérêts fondamentaux de la nation – enfin a priori.

L’histoire débute le 20 avril 2011. Une attaque par déni de service est lancée par des Anonymous contre plusieurs géants de l’électricité impliqués dans l’industrie nucléaire. Nom de code : Operation Greenrights. Après la tragédie de Fukushima au Japon, les activistes entendent alors protester contre les dangers du nucléaire civil. Le Français EDF, l’Américain General Electric et l’Italien ENEL sont visés.

Le lendemain à Paris, l’Agence nationale pour la sécurité des systèmes d’information (Ansi) alerte la DCRI “du déroulement d’une attaque informatique visant le portail Internet de l’Opérateur d’importance vitale (OIV) EDF”, selon un compte rendu de la DCRI.

Cette notion d’opérateur d’importance vitale, définie en France dans une Instruction générale interministérielle de septembre 2008, crée des relations exceptionnelles entre les industriels et les services de sécurité.

En conséquence, branle-bas de combat chez les fins limiers du renseignement intérieur. Ses agents se mettent en quête de vilains Anonymous susceptibles d’avoir commis le coup. Dans un cadre légal pas très clair.

Mais par chance, le 2 mai, EDF dépose plainte contre ces attaques et se dépêche de transmettre quantité de données techniques à la DCRI – permettant donc l’ouverture officielle d’une enquête préliminaire. Un service avec lequel l’électricien entretient des relations institutionnelles comme l’illustrent les mails échangés entre le directeur sécurité de l’entreprise, Jean-Marc Sabathé (qui n’a pas répondu à nos sollicitations), et ses interlocuteurs au sein de la DCRI.

Au plan du droit, l’opérateur avance le motif que durant 14 heures ses sites bleuciel.edf.com ou entreprises.edf.com ont été indisponibles. La société chiffre le préjudice à 162.000 euros. Les autorités prennent l’affaire très au sérieux. La DCRI de son côté rédige des procès-verbaux dans lesquels elle livre sa définition des collectifs Anonymous et du Parti Pirate, dont il sera vite question dans l’affaire.

Une semaine plus tard, le Tribunal de Bobigny initialement saisi est écarté au profit de la Juridiction inter-régionale spécialisée (Jirs) de Paris, regroupant des magistrats experts es organisations criminelles.  Au parquet de Paris, le vice-procureur Catherine Sorita-Minard, d’ordinaire chargée de traquer les gros bonnets, supervise les recherches.

Gros poisson

Au siège de la DCRI, à Levallois, les geeks de la maison exploitant “un micro-message émis sur le réseau social Twitter” découvrent que l’opération Greenrights trouve une justification dans un manifeste publié sur un site rattaché au Parti Pirate allemand. Un parti qu’ils ne semblent pas vraiment connaître, comme l’indique un procès-verbal synthétisant leurs “recherches sur Internet sur ce mouvement”.

Convaincus qu’ils ont ferré un gros poisson, ils sollicitent une organisation méconnue : le réseau G8/24-7 dédié à la cybercriminalité. Également connu sous l’appellation Groupe de Lyon, il agit comme une instance informelle de coopération entre les services de sécurité des États membres du G8, spécialisée dans la surveillance des réseaux. Un réseau dont le fonctionnement a été validé par les ministres de l’Intérieur du G8 lors d’une réunion tenue il y a dix ans, à Mont Tremblant en mai 2002. Dans chaque pays, une adresse email est réservée à cette coopération entre services, pour la France c’est : cyber-france24-7@interieur.gouv.fr

Par ce biais, une coopération judiciaire accélérée est établie avec le BKA – les homologues allemands de la DCRI. Pour les Français il s’agit d’obtenir dans des délais records un enregistrement des données contenues sur les serveurs du Parti Pirate allemand, et correspondant à l’écriture du texte collaboratif de revendication de l’opération Greenrights. Pour identifier les fauteurs de troubles sous le masque des Anonymous.

Le 23 mai le BKA crie victoire et avertit les collègues de la DCRI. Leurs agents sont parvenus à récupérer des données sur http://piratenpad.de, l’un des sites utilisé par le Parti Pirate pour la rédaction en ligne de textes collectifs. Non sans faire de dégâts. Ils ont ainsi rendu indisponible le site du mouvement pendant près de six heures mais surtout ils ont déconnecté 255 adresses IP, une manœuvre qui a dû provoquer ce jour-là quelques perturbations.

Talentueux

Ces recherches approfondies en Allemagne ne permettent pas de remonter aux auteurs du manifeste diffusé lors de la première vague de l’opération Greenrights. Les administrateurs du Parti Pirate ayant pris la bonne habitude d’effacer quantité de données. Tant pis pour la DCRI. Mais le 31 mai, des Anonymous repassent à l’action contre les géants de l’électricité nucléaire, dont EDF. Cette fois-ci, les agents de la DCRI aux aguets repèrent un flyer des Anonymous faisant référence au nom de domaine irc.lc/anonops/operationgreenrights.

Celui-ci appartient à un Français, Pierrick Goujon, présenté par les enquêteurs comme “un technicien talentueux”. Selon la DCRI : “ce brillant dilettante, tout en reconnaissant que son site offrait une ampleur supplémentaire à l’attaque, limitait sa responsabilité à la mise en relation et non au contenu. La copie et le début d’exploitation du serveur de M. Goujon menés durant le temps de sa garde à vue confirmaient ces éléments”.

Placé en garde à vue par la DCRI, Pierrick Goujon a été mis en examen par le juge David Benichou, le 26 janvier dernier, pour “Entrave au fonctionnement d’un système automatisé de données”. Après un an d’enquête menée par la DCRI, sa culpabilité dans l’attaque par déni de service des sites d’EDF n’a pas été formellement établie, corroborant en cela les propos qu’il nous avait tenus peu après sa garde à vue. De la même manière, la deuxième personne mis en examen dans ce dossier, Matthieu O. a reconnu avoir fait œuvre de prosélytisme lors de l’opération Greenrights, sans toutefois participer à des attaques par dénis de service, comme l’a confirmé l’enquête.


Photo de Jacob Davis [CC-byncnd] via Flickr

Laisser un commentaire

  • eratosthene1 le 14 juin 2012 - 19:50 Signaler un abus - Permalink

    Les rapports ne parlent pas de la clé SSH, bizarre.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • alibaba le 14 juin 2012 - 21:58 Signaler un abus - Permalink

    les procès verbaux de la police sont bourrés de fautes, l’auteur a du mal avec les accords on dirait…

    l’auteur de l’article n’est pas en reste
    “ils sollicitent une instance méconnu réseau G8/24-7 dédié à la cybercriminalité.”
    “De la même manière, la deuxième personne mis en examen dans ce dossier”

    Si vous voulez être pris au sérieux éviter de faire des fautes aussi grossières


    Vous avez bien raison cher Alibaba. Nous avons vite corrigé celle-ci due à une parution au pas de charge.
    Quant aux fautes de la DCRI, nous vous suggérons d’écrire à Levallois. Pour le reste: évitons, évitez, éviterions-nous joyeusement…

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Fil le 14 juin 2012 - 22:36 Signaler un abus - Permalink

    Pourquoi ne publier que de “larges extraits” et pas l’intégralité ?

    Excellente question. Nous avons craint de noyer nos lecteurs. Au total, l’intégralité des 211 documents doit représenter 600 ou 700 pages minimum, comprenant des listes d’adresses IP et d’interminables relevés techniques. Nous avons sélectionné les synthèses et mémos qui nous semblaient significatifs et susceptibles d’être lus dans des délais raisonnables.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
    • ronane le 18 juin 2012 - 2:23 Signaler un abus - Permalink

      peut-être serait-il intéressant de publier le reste sous forme d’annexe. Le lecteur intéressé pourra trouver son bonheur en allant fouiner. Ainsi pourra-t-il peut être continuer votre travail en faisait ressortir d’autres extrais dignes d’intérêt.

      • Vous aimez
      • Vous n'aimez pas
      • 0
      Lui répondre
  • Vincent le 14 juin 2012 - 23:10 Signaler un abus - Permalink

    Bon, pour commencer, le premier rapport décrit une attaque de type SYN flood. Si les informaticiens d’EDF ne sont pas capables de se protéger contre ça, qu’ils retournent à leur bac à sable.

    Ensuite, il n’y a évidemment aucun danger à attaquer les sites marketing d’EDF. Les machines qui les hébergent ne sont évidemment pas celles utilisées pour gérer la sécurité des centrales.

    De trois, le préjudice estimé est totalement bidon. Un SYN, c’est 64 octets, pas une bombe. Si trop de SYNs arrivent à bloquer la machine, elle repartira après la fin de l’attaque. Et au pire après un redémarrage de bon fonctionnement…

    Finalement, le préjudice est réel : quelques sites marketing d’EDF n’ont pu être consultés pendant quelques heures.

    Et on voudrait nous faire croire que ce sont des terroristes ???

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • cloudtsider le 15 juin 2012 - 0:24 Signaler un abus - Permalink

    1er document, page 4, que peut bien signifier pour un OPJ faire des recherches en “Open Source” ??

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
    • kiki le 15 juin 2012 - 12:04 Signaler un abus - Permalink

      “Open Source” veut littéralement dire “source ouverte”, c’est à dire plus ou mois ce qui est public. Un site web ou un compte twitter non verrouillé est une source ouverte.
      À l’opposé des déclarations d’un auditionné dans une GAV ne le sont pas …

      • Vous aimez
      • Vous n'aimez pas
      • 0
      Lui répondre
      • cloudtsider le 15 juin 2012 - 12:32 Signaler un abus - Permalink

        Je vois ce que tu veux dire, je sais bien ce que signifie open source. Ce que je comprends moins c’est ce que ça apporte pour l’OPJ de le préciser, si “effectuer des recherches en Open Source sur Internet” est égal à “effectuer des recherches sur Internet”.
        Les majuscules sur open source semble indiquer qu’il se réfère au concept … et en cela je comprends pas bien.
        Si l’usage qu’il fait de ce concept lui sert juste à légitimer/ rendre plus sérieux, au niveau de sa hiérarchie, une bête recherche google, c’est un bien étrange glissement de l’usage de ce terme, qui en a déjà l’habitude vous me direz …

        • Vous aimez
        • Vous n'aimez pas
        • 0
        Lui répondre
        • kiki le 15 juin 2012 - 14:18 Signaler un abus - Permalink

          Mon interprétation (mais je peux me tromper bien sur) est que l’OPJ se dédouane un peu auprès du proc en disant cela, genre c’est légal car public.

          Je m’explique : la phrase d’après il “découvre” sur Twitter l’annone de l’Opé. Donc bien sur il ne surveillait pas le compte et c’est donc en recherchant a posteriori qu’ils sont tombé dessus.

          Ce que je veux exprimer ici c’est que l’OPJ utilise cela pour renforcer le fait que l’enquête a été lancée sur demande et qu’il n’y avait (bien sur …) aucune surveillance amont.

          Cela fait je pense une différence sur un point de vue juridique. Maintenant je ne suis pas sur à 100 % et ce n’est qu’une interprétation qui me vient à l’idée.

          • Vous aimez
          • Vous n'aimez pas
          • 0
          Lui répondre
  • finex le 15 juin 2012 - 10:17 Signaler un abus - Permalink

    Je suis assez partagé après cette lecture… faut-il que je me réjouisse, en me disant que les forces de l’ordre veillent au grain et ne consacrent judicieusement que peu d’énergie à poursuivre quelques hurluberlus après tout assez innofensifs ? Ou est-ce là tout ce dont nos services de renseignements sont capables, et dois-je me retenir d’imaginer ce que des personnes réellement dangereuses et mal intentionnées pourraient faire à leurs nez et barbe ?

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Totor le 15 juin 2012 - 10:38 Signaler un abus - Permalink

    Bonjour,
    Tout cela est ridicule, je connais Pierrick depuis des années et je suis sur le serveur que la dcri a surveillé pendant six mois puis saisi un instant au moment de le mettre en accusation et voici la vérité: Pierrick est tout sauf le brillant technicien qu’on décrit ici, c’est un bidouilleur, une sorte de punk qui vit a l’arrache, qui participe en permanence a des projets communautaires, file un espace sur son serveur à n importe qui du moment qu’il est sympa ou qu’un squatteur du serveur le lui recommande etc
    La démarche de ce raccourcisseur de lien rentre dans le cadre de cet esprit communautaire qui l’anime, point!

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • gillesvh le 16 juin 2012 - 9:41 Signaler un abus - Permalink

    «durant 14 heures ses sites bleuciel.edf.com ou entreprises.edf.com ont été indisponibles. La société chiffre le préjudice à 162.000 euros.»

    J’adore ce genre d’évaluation à la louche des «préjudices» d’EDF, surtout quand on a en mémoire les salaires multiples de Proglio, les parachutes dorés, les cumuls de nos hommes politiques, etc.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Serge ULESKI le 16 juin 2012 - 11:58 Signaler un abus - Permalink

    Que chacun remplisse sa mission.

    Le chat et la souris… la souris et le chat…

    Se courser sur le Net ou dans la rue…

    Manif autorisée ou pas…

    Débordements ou pas…

    La lutte continue.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Gerv Steph le 17 juin 2012 - 21:08 Signaler un abus - Permalink

    Complaitement twit ce gars

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • KheOps le 18 juin 2012 - 13:51 Signaler un abus - Permalink

    Pourquoi les enquêteurs de la DCRI se fatiguent-ils à écrire une note sur Anonymous et sur le Parti pirate alors que tout le monde aurait une info plus complète et de meilleure qualité juste en lisant Wikipedia ?

    Mais où vont nos impôts ? :p

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
  • Guillaume Renoux le 3 août 2012 - 17:23 Signaler un abus - Permalink

    Les Anonymous ont vraiment beaucoup à craindre de la DCRI. Les méthodes qu’emploient les agents sont clairement totalitaires, illégales, inavouables. Ces gens-là ne se contentent pas de faire de la surveillance, mais peuvent détruire un individu à leur bon plaisir, même si celui-ci n’est pas dangereux, qu’il n’est rattaché à aucun groupe d’activistes.

    Imaginez : Un artiste, qui n’a jamais perçé, qui bosse dans une salle de spectacle parisienne, La Cigale, comme ouvreur, en cherchant des connexions dans le milieu parisien pour gagner sa vie dans le domaine de l’image. Il a le malheur de conduire quelques recherches sur les phénomènes sectaires, dont la scientologie (pour élobarorer des profils psychologiques de personnages de fiction, bref : rien qu’y ne soit interdit).

    Que ferait la DCRI si elle lui tombait dessus ? Elle s’amuserait à se faire passer pour la scientologie (ou à n’importe quelle secte qui persécute certains de ses détracteurs), n’hésiterait pas à faire participer des gosses, des personnages publiques, à ce qu’il convient d’appeler une persécution intensive, avec destruction de sentiment de sécurité, création d’angoisses de désorientations, de troubles profonds, qui vise à le rendre maboul. Alors même que le gars vient de trouver un boulot dans l’image après des années de galère, et qu’il ne souhaite que se poser comme tout individu lambda.

    Ce que j’ai subi en une semaine, du 10 au 16 avril 2011, est digne de la Stasi ou de l’OSA. Ils n’y sont pas aller de mains mortes. Et m’ont fait atteindre le point de non-retour.

    Mais on ne peut pas porter plainte dans ces cas-là. Cette police d’Etat est protégée.

    Bernard Boucaul, Frédérique Lefebvre, Brice Hortefeux, ainsi que d’autres membres de l’élite, qui a priori ne font pas parti de la DCRI, ont été des acteurs de cette destruction psychique. Ils ne sont pas les seuls. C’est un viol en réunion par des notables friqués qui m’a brisé et auquel j’ai assisté impuissant sans comprendre pourquoi une telle chose m’arrive. Viol, au sens figuré soit, mais ma raison ne s’en est pas remis. Et, je le sais aujourd’hui, ne s’en remettra jamais. Surtout qu’ils n’ont jamais cessé de se manifester.

    Aujourd’hui je donne une (vraie) raison à la DCRI de me faire surveiller.

    Ce qu’ils font est monstrueux. Et je suis un de leur produit. Un monstre.

    Cette société n’a pas seulement les criminels qu’elle mérite.

    Mais également les criminels qu’elle fabrique.

    Le monstre va tuer, et, enfin, il sera coupable. Vraiment.

    S’il faut payer autant que ce soit pour une raison valable.

    Les intouchables sauront que eux aussi sont des êtres humains.

    Et qu’un être humain, quand on lui donne des coups de couteau, il saigne.

    Une connerie qui satisfera ceux qui vendent du papier.

    C’est l’unique porte de sortie, la prison, pour ne plus les voir.

    Pour sortir de leurs radars.

    PS : Je n’étais pas un criminel.

    • Vous aimez
    • Vous n'aimez pas
    • 0
    Lui répondre
    • PouetPouet le 15 novembre 2012 - 11:07 Signaler un abus - Permalink

      “création d’angoisses de désorientations, de troubles profonds, qui vise à le rendre maboul”
      Manifestement mon pauvre ami, j’ai bien l’impression que la mission de la DCRI est accomplie : tu as l’air bel et bien maboul.

      Es-tu abonné à http://www.paranomagazine.blogspot.fi/ ?

      • Vous aimez
      • Vous n'aimez pas
      • 0
      Lui répondre
    • Stanciu le 5 mai 2014 - 22:10 Signaler un abus - Permalink

      Could not have done this without the indlicebre support that carries on post-DCRI. I cannot think of any other fellowship program in the world that invests so heavily in long-term relationships with their former fellows. To all my friends at the DCRI, a big thank you!

      • Vous aimez
      • Vous n'aimez pas
      • 0
      Lui répondre
4 pings

Derniers articles publiés