des e-mails envoyés by way of une adresse suisse pour “brouiller les pistes”

Des centaines de voyageurs évacués de plusieurs aéroports français. La scène s’est répétée à plusieurs reprises dans plusieurs villes la semaine dernière : Lyon, Beauvais, Nantes, Bordeaux, Toulouse, Bâle-Mulhouse ou encore Lille. Ils ont été évacués, pour certains, après des menaces formulées par e-mail. Depuis ce dimanche 22 octobre, on en sait plus sur l’origine de ces courriels : “C’est quasiment toujours la même adresse e-mail qui est utilisée, (…) et qui est située hors de l’UE, en Suisse“, a affirmé le ministre délégué aux transports, Clément Beaune, sur franceinfo.

Normalement, un e-mail est facilement traçable, “un peu comme quand on envoie une lettre à La Poste à l’adresse de l’expéditeurexplique à franceinfo Gérôme Billois, skilled en cybersécurité au sein du cupboard Wavestone. À tous les mails, sur une adresse d’expédition mais il y a aussi des éléments strategies, un peu comme le cachet de la Poste qu’on met sur le timbre. Cela dit que ça a été posté tel jour depuis tel bureau de poste, and so on…” Sauf que dans le cas des alertes à la bombe de la semaine dernière, le ou les auteurs de ces mails ont utilisé une approach pour masquer leur localisation. On vous explique les problèmes que cela risque de poser pour les enquêteurs, notamment pour identifier les auteurs.

Remark remonter la hint du courrier jusqu’à son expéditeur ?

La première query que l’on peut se poser : pourquoi la Suisse ? “C’est un pays voisin de la France, donc la menace peut paraître plus crédible“, a affirmé, ce lundi 23 octobre, à la RTS (Radio télévision suisse), Romain Riether, avocat spécialisé en nouvelles applied sciences. Pour Gérôme Billois, la raison semble être toute autre : “Ça aurait pu être n’importe quel autre pays“, explique-t-il à franceinfo.

Pour l’skilled, “le dernier maillon de la chaîne, c’est la Suisse. Mais rien ne nous dit que de cette boîte mail suisse, l’auteur ne s’est pas connecté depuis un autre pays et encore un autre pays, et encore un autre pays.” En clair, ces mails de menaces ont pu tous transiter par la Suisse avant d’arriver en France. Le membre du cupboard Wavestone pense à l’utilization d’un “VPN“, un système qui permet de chiffrer une connexion web en donnant une autre adresse IP (la carte d’identité de l’ordinateur, NDLR) et en masquant la vôtre. Premier objectif de la manœuvre : “Brouiller les pistes, (…) rendre plus difficile votre identification.“

La complexe identification du ou des auteurs

Quelle que soit la manœuvre utilisée, l’envoi du courrier est passé par la Suisse avant d’arriver en France. Le ministre délégué aux Transports, Clément Beaune, a, d’ailleurs, fait référence sur franceinfo à “la même adresse mail” utilisé lors de plusieurs fausses alertes à la bombe. Pour Gérôme Billois, c’est un indice qui peut se renseigner sur le ou les auteurs de ces mails : “On est face à quelqu’un qui cherche d’une certaine manière à masquer son identité, ou en tout cas à rendre complexe son identification“, estime l’skilled en cybersécurité. Il poursuit : “Cette personne prend des risques. Quelque half, elle essaie d’une certaine manière de masquer son identité. (…) Là, il y a une volonté d’envoyer un e-mail à de multiples reprises depuis l’étranger. Ça montre que l’on n’est pas face à un novice. On est face à quelqu’un qui sait ce qu’est un e-mail et qu’il peut être tracé.“

Plus de 60 enquêtes ont été lancées depuis les premières fausses alertes à la bombe. Certaines sont dues à des coups de téléphone, comme celle du jeudi 19 octobre au château de Versailles. Un homme de 38 ans avait passé un appel au château et a été condamné, lundi 23 octobre, à huit mois de jail avec sursis. Dans le cas des courriels, la traçabilité est compliquée à établir d’autant que les moyens sont nombreux pour masquer son identité.

À titre d’exemple, Gérôme Billois a eu affaire à des hackers qui ont tenté d’attaquer une entreprise du CAC 40, qui a sollicité les providers de Wavestone. “Quand on a regardé l’adresse qui nous attaquait, c’était une adresse web d’une maternelle en Corée du Sudraconte-t-il. Vous imaginez bien que ce n’était pas des élèves de maternelle qui étaient en prepare de nous attaquer, mais c’était un serveur qui était vulnérable en Corée qui avait été pré-piraté par un attaquant. Il s’en servait comme d’un rebond pour masquer ses traces.“

Quelles conséquences pour l’enquête ?

Le premier frein à l’enquête est posé par le statut de la Suisse : la Confédération helvétique n’est ni membre de l’Union européenne, ni d’Europol, l’agence policière européenne. Il existe des accords de coopération judiciaire et policière entre les deux pays, qui ont été renforcés l’année dernière. Néanmoins, les autorités de la Confédération n’ont “pas connaissance d’une demande d’entraide judiciaire émanant d’un ministère public français“, explique à franceinfo l’Workplace fédéral de la Justice (OFJ), l’équivalent suisse du ministère français de la Justice.

“On ne peut toutefois pas exclure que les autorités françaises aient agi (…) dans le cadre de l’entraide administrative internationale en matière de police“, poursuit l’OFJ. Dans tous les cas, l’enquête peut prendre du temps. “Toutes les demandes d’entraide judiciaire sont toujours longuesexplique Gérôme Billois. Parce qu’il faut que l’infraction qui est constatée en France soit exprimée aussi dans un contexte suisse et soit ensuite réglementée du côté suisse. L’étape suivante est de transmettre une demande “à la plateforme de messagerie qui va, peut-être, pouvoir donner des informations strategies“.

“Une coopération entre pays peut parfois prendre quelques jours. Par contre, dans les délais plus classiques, on est plutôt sur une attente de plusieurs mois.”

Gérôme Billois, skilled en cybersécurité au sein du cupboard Wavestone

à franceinfo

En résumé, l’enquête peut prendre beaucoup de temps entre la France et la Suisse, d’autant que la majeure partie des enquêtes se déroule du côté français. Les auteurs des fausses alertes à la bombe risquent trois ans de jail et 45 000 euros d’amende.