piratage informatique : leçon 1

Médiapart du 17 Avril 2009
Espionnage: après EDF, des affaires Vivendi et Landis?
Par Fabrice Arfi et Fabrice Lhomme

Après l'affaire EDF, faudra-t-il parler d'affaires Vivendi ou Landis? C'est la question que semblent se poser les enquêteurs chargés d'élucider une série d'intrusions informatiques dont ont été victimes, outre Greenpeace, Me Frédérik-Karel Canoy, ancien défenseur de l'association des petits porteurs d'actifs (APPAC), et le Laboratoire nationale de dépistage du dopage (LNDD) de Châtenay-Malabry (Yvelines). Autant de piratages dont le point commun est d'avoir été réalisés par le même informaticien, Alain Quiros, à la demande d'une officine de renseignement, Kargus Consultants.

Jusqu’alors, le juge de Nanterre (Hauts-de-Seine), Thomas Cassuto, ainsi que les policiers de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) avaient surtout accumulé des éléments sur le volet dit “Greenpeace” de l’affaire: ils sont convaincus que c’est à la demande d’EDF que des membres de l’association écologiste, et sans doute d’autres militants anti-nucléaires, ont été espionnés.

Reste à identifier les commanditaires des piratages informatiques ayant visé Me Canoy et le LNDD. Or, si l’on en croit le dossier judiciaire, dont Mediapart a pu prendre connaissance, les enquêteurs privilégient une piste dans chaque cas: la première, concernant l’avocat, mène au dossier Vivendi ; la seconde, concernant le LNDD, conduit au coureur cycliste américain Floyd Landis… Avec, dans les deux cas, un curieux personnage dont le rôle est central, un certain Jean-François Dominguez, qui se présente comme photographe mais qui semble surtout lié aux services secrets français.

Selon nos informations, Me Frédérik-Karel Canoy a été longuement interrogé, mardi 14 avril, par les policiers de l’OCLCTIC, à qui il a fait part de ses soupçons. « J’ai dit aux enquêteurs que j’étais convaincu que la surveillance informatique dont j’ai été l’objet était liée au rôle que j’ai joué dans l’affaire Vivendi », a confirmé jeudi soir à Mediapart Me Canoy. Visiblement, c’est aussi l’avis des enquêteurs…

Un mot-clé nommé Vivendi

C’est lors d’une confrontation, le 7 avril, réunissant les quatre personnes mises en examen dans le bureau du juge Cassuto, que l’informaticien Alain Quiros a révélé qu’il avait « hacké » l’ordinateur personnel de Me Canoy à la demande de Jean-François Dominguez, qui lui avait été présenté par le patron de Kargus Consultants, Thierry Lorho. L’intrusion informatique visant l’avocat aurait été réalisée au début de l’été 2006, «à la demande de M. Dominguez », moyennant « une rémunération d’à peu près 2000 euros».

Selon l’informaticien, MM. Lorho et Dominguez lui auraient «remis une adresse email qui n’était pas une adresse de société, je pense une adresse Yahoo, avec une liste de mots-clés. J’ai réalisé ce travail, par la suite j’en ai informé M. Lorho qui en a informé M. Dominguez je suppose, on s’est revus dans un café (…) où j’ai remis le CD à M. Dominguez ». « Pour quelles raisons, ce piratage?», a demandé le juge Cassuto. «Franchement, aucune idée », a répondu M. Quiros. «Je ne posais jamais la question. On me donnait une adresse email et des mots-clés, le pourquoi du comment du piratage, je n’en avais aucune idée. Autant je le savais pour EDF car c’était pour moi évident, pour le LNDD et M. Canoy, je n’en avais aucune idée.»

Concernant le commanditaire de M. Dominguez, M. Quiros a toutefois livré une piste au magistrat. Il a en effet déclaré que les instruction de M. Dominguez étaient «de pénétrer le système informatique indiqué sur [un] papier correspondant à l’adresse mail et de rechercher des fichiers correspondant à une liste de mots-clés qui [lui] avaient été fournis». Et l’informaticien d’ajouter: «Il y avait quatre ou cinq mots-clés. Je me souviens de Vivendi.»

Il faut rappeler que Me Canoy ferraille depuis de longues années contre le groupe Vivendi. En juillet 2002, il avait déposé une plainte pénale pour « délits d’initiés, divulgation de fausses informations, faux bilans », visant la société et ses dirigeants, pour le compte de l’association des petits porteurs d’actifs (APPAC), avec qui il a rompu depuis.

Un cheval de Troie dans l’ordinateur

Peu loquace, Jean-François Dominguez a contesté la version présentée par Alain Quiros. A la question : «Avez-vous eu comme client le groupe Vivendi ou une personne de ce groupe?», il a répondu: «Non, je ne connais pas Vivendi, ni de près ni de loin.» Thierry Lorho, de son côté, a validé pour partie la version de M. Quiros: «Je confirme que j’ai présenté Jean-François Dominguez à Alain Quiros, qu’un papier a été remis et que je ne savais pas ce qu’il y avait dedans. Je me doutais de l’utilisation car on m’avait demandé de présenter un spécialiste de l’informatique.»

Sur la surveillance informatique elle-même, qui se serait étalée de mai à juillet 2006 («En fait, le piratage n’a duré que quelques jours puisque j’avais trouvé les fichiers qu’on me demandait, sauf que je n’ai pas désinstallé le serveur – Cheval de Troie –, je l’ai fait en juillet», a précisé M. Quiros), l’informaticien a assuré avoir « capturé toutes les frappes clavier et trouvé des fichiers en relation avec la liste » remise par M. Dominguez.

«Que sont devenus ces fichiers », l’a questionné le juge Cassuto. «Je les ai détruits. C’étaient des fichiers Word et je les ai détruits avec tous les autres ainsi que la copie qui se trouvait sur une clé USB (…) C’était la première fois que je pénétrais illégalement dans un système informatique et je ne voulais pas les conserver. Je les avais gardés sous forme cryptée sur une clé USB que j’ai décidé de détruire plus tard», a reconnu l’informaticien, qui a précisé qu’il avait préalablement remis une copie – « un CD ou une clé USB» – à M. Dominguez.

A l’évidence, le profil de Jean-François Dominguez intrigue les enquêteurs, qui sont persuadés qu’il est lié aux services secrets. «Il m’a dit qu’il était photographe pour la presse, qu’il revenait d’Irak, qu’il avait vendu des photos pour VSD. On a parlé d’une fusillade qui aurait eu lieu pendant qu’il prenait des photos. Je n’en sais pas plus», s’est souvenu Alain Quiros.

«M. Dominguez pouvait-il utiliser ce type de couverture ?», a demandé le juge à Thierry Lorho. «Il est vraiment photographe car il a publié des livres sur la guerre en Irak, ce n’est pas une couverture», a assuré le patron de Kargus Consultants. «M. Dominguez travaille dans différents environnements, on va dire ça. Il est agent de recherche, il a écrit des livres, il a travaillé dans des endroits de guerre : Birmanie, Yougoslavie, Irak.»

«Il fallait que je pénètre cette adresse email»

Jean-François (ou François, selon les cas) Dominguez a déjà eu affaire à la justice : il a été mis en examen en 2004 puis condamné en décembre 2007 pour «corruption active d’un salarié». Agissant pour le compte d’un autre « privé », il avait espionné les coulisses d’une émission de télé-réalité de la chaîne de télévision M6 pour le compte d’une société de production concurrente.

D’après Intelligence On Line du 16 avril, M. Dominguez serait «un ancien légionnaire, passé chez les forces croates pendant la guerre des Balkans. Bien que n’ayant jamais été titulaire de la carte de presse, il s’était alors fait passer pour un journaliste». Il aurait notamment été employé par des officines de sécurité et de renseignement comme Octogone, Raven sécurité ou XM-Consulting. Toujours selon Intelligence On Line, cet homme aurait «d’excellents contacts avec la sous-direction B de la Direction de la surveillance du territoire (DST), en charge de la surveillance de la sécurité privée en France».

C’est encore Jean-François Dominguez que l’on retrouve à la manœuvre dans l’intrusion informatique ayant visé le Laboratoire national de dépistage du dopage, en septembre 2006. Le modus operandi a été le même que celui utilisé pour Me Canoy. Thierry Lorho a remis une feuille avec une adresse mail et «des mots-clés à rechercher», a expliqué Alain Quiros le 7 avril. « Il était clair qu’il fallait que je pénètre cette adresse email et que je récupère des fichiers liés aux mots-clés.»

M. Lorho a confirmé: «Quand on fait un hacking, il est vrai qu’il faut qu’il y ait des mots-clés et une adresse mail, c’est ce que j’ai remis à M. Quiros sans savoir à quoi cela correspondait», et ce à la demande «de M. Dominguez». Lors d’une audition précédente, le patron de Kargus Consultants avait été plus précis: «J’ai vu une adresse mail, des mots en anglais. J’ai pris le papier, je l’ai replié. Ce truc-là ne m’intéressait pas, j’ai rendu service à François Dominguez qui cherchait un hacker.» Et au juge qui lui demandait pour qui travaillait M. Dominguez dans cette histoire, M. Lorho répondit: «Il m’a dit que c’était pour les Anglo-Saxons. Cela ne me choquait pas plus que ça. Quiros m’a dit que cela concernait un cycliste anglais ou américain.»

Floyd Landis soupçonné

De toute évidence, le coureur en question est l’américain Floyd Landis, au cœur d’un scandale à l’issue du Tour de France, au mois de juillet 2006. Convaincu de dopage à la testostérone, le vainqueur du Tour perdit son titre l’année suivante après que les expertises et contre-expertises eurent confirmé qu’il avait eu recours à des substances illicites pour gagner le Tour…

Or, dès l’été 2006, Landis et ses proches entamèrent une guérilla juridique visant à faire annuler le contrôle positif du coureur, multipliant notamment les attaques contre le Laboratoire national de dépistage du dopage, qu’ils tentèrent de discréditer.

C’est dans ce contexte que le journal L’Equipe révéla, en novembre 2006, que l’Agence française de lutte contre le dopage (AFLD) avait déposé plainte pour «intrusion informatique» – et indirectement lancé l’affaire EDF/Greenpeace. En effet, depuis fin octobre 2006, des courriers et des courriels censés émaner du LNDD et pointant des erreurs d’analyse du laboratoire avaient été envoyés de façon anonyme à l’Agence mondiale antidopage (AMA), au Comité international olympique (CIO) et à certains laboratoires accrédités par l’AMA. Or, ces faux n’avaient pu être confectionnés qu’en ayant eu accès aux vrais documents du LNDD.

Dès novembre 2006, L’Equipe assurait qu’un proche de Floyd Landis était impliqué dans la diffusion des faux courriers. Les déclarations de MM. Lorho et Quiros accréditent aujourd’hui la thèse de l’implication de l’entourage du cycliste américain dans le piratage informatique du laboratoire anti-dopage. Une implication que M. Dominguez se refuse à confirmer. Lors de la confrontation du 7 avril, il a laissé entendre que lui-même n’avait fait qu’obéir à un mystérieux commanditaire, dont il n’a pas livré l’identité, qui lui aurait remis « une enveloppe kraft » qu’il n’aurait fait que transmettre à l’informaticien via le patron de Kargus.

«Ce n’est qu’après coup qu’on a pris conscience de la gravité des faits et de la nature de ces faits à proprement parler», a affirmé M. Dominguez, qui a conclu: «On a découvert quelques mois après à la lecture de L’Equipe qu’un laboratoire avait été l’objet d’un piratage informatique. On a parfaitement conscience que c’est une action délictueuse et que l’on s’était mis dans une position de complicité indirecte de l’infraction.»