La direction centrale de la police judiciaire a mis en place et exploité pendant plus de deux mois, entre fin 2012 et début 2013, un programme illégal de géolocalisation, baptisé “Pergame”, visant plusieurs centaines de personnes au travers de leur téléphone portable, selon plusieurs documents et témoignages. L’affaire est prise très au sérieux au ministère de la justice. Une note interne rédigée par le secrétariat général de la place Vendôme, que Mediapart s'est procurée, va ainsi jusqu’à dénoncer « la transgression des dispositions réglementaires constitutive de graves infractions pénales ».
À la suite de ces faits, une enquête administrative de l'Inspection générale de la police nationale (IGPN), la police des police, a été ouverte. De nombreuses auditions ont eu lieu, y compris dans les rangs de la haute hiérarchie policière, pour finalement conclure que les « garde-fous » qui auraient dû empêcher la mise en place de ce programme « n’ont pas fonctionné ». Contactée par Mediapart, la direction générale de la police nationale indique que “Pergame” a été installé à titre « expérimental ».
Plusieurs documents démontrent pourtant que ce dispositif a été validé à plusieurs niveaux, au sein de la DCPJ. Les serveurs en cause étaient installés à l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), basé à Nanterre. Le système dont nous révélons aujourd’hui l'existence, baptisé “Pergame” pour « Plateforme d'Exploitation et de Recueil des Géolocalisations Appliquées à des Mobiles en Emission », a été utilisé entre le 7 novembre 2012 et le 11 janvier 2013, jour de son débranchement en catastrophe.
Ce 11 janvier 2013, l'OCLCTIC recevait la visite exceptionnelle de Manuel Valls. Accompagné de Fleur Pellerin, ministre déléguée à l'économie numérique et aux PME, le ministre de l'intérieur visitait les locaux de cet office central pour marquer sa détermination à lutter contre la cybercriminalité (voir ici les photos de cette visite).
Le directeur général de la police nationale, Claude Balland, ainsi que Christian Lothion, le directeur central de la PJ, étaient également présents. La journée s’est déroulée sans le moindre incident jusqu'à 18 h 15. Peu après le départ de la délégation, un vent de panique s’est mis à souffler brusquement dans les locaux de l'OCLCTIC. Pour cause : la directrice du service, Valérie Maldonado, découvre alors un mail de sa hiérarchie lui ordonnant de couper immédiatement le dispositif “Pergame”.
À cet instant précis, deux cents lignes étaient “branchées”. En clair, deux cents téléphones portables dont les données de géolocalisation avaient été requises pour des enquêtes judiciaires, principalement dans des affaires de criminalité organisée, notamment de stupéfiants. Toutes ces enquêtes sont aujourd'hui menacées d'être frappées de vices de procédure. Tous les services sont concernés, police et gendarmerie. Après quelques hésitations, les serveurs ont été débranchés et les prises littéralement arrachées sur instructions pressantes de Valérie Maldonado. En quelques secondes, toutes les géolocalisations en cours ont donc brutalement été interrompues.
Cette mise hors ligne en catastrophe de “Pergame” sera à l'origine de l'ouverture, le jour même, d'une enquête administrative de l'IGPN. La police des polices cherche à comprendre comment le serveur “Pergame” a pu être installé en dehors de tout cadre légal au sein de la DCPJ. En théorie, la plateforme aurait dû obtenir l'autorisation de la Cnil, et même faire l'objet d'un décret en conseil d'État, selon une source proche du dossier. Mais au sein du ministère de l’intérieur, personne ne s'est encombré de ces procédures.
Dans son courrier interne, le secrétariat général du ministère de la justice critique sévèrement ce système, dans des termes qui ne laissent guère la place au doute : « La mise en place de la plateforme Pergame s'est faite au prix de la transgression des dispositions réglementaires constitutive de graves infractions pénales. Toutes les personnes du ministère de l'intérieur (...) qui ont apporté leur concours à la mise en place de cette plateforme sont susceptibles d'être poursuivis comme auteur et complice » de ces infractions. Et de citer l'article 226-16 du code de procédure pénale : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »
Le sujet est d'autant plus sensible que la Cour de cassation vient de souligner dans deux arrêts récents que la géolocalisation constituait « une ingérence dans la vie privée, dont la gravité nécessite qu'elle soit exécutée sous le contrôle d'un juge ». Ces arrêts ont été suivis d’une circulaire du ministère de la justice exigeant que les parquets cessent immédiatement d'y avoir recours. De quoi inquiéter encore un peu plus les responsables de “Pergame”.
Mais pour comprendre l'affaire “Pergame”, il faut revenir aux bouleversements qui agitent actuellement le domaine des interceptions judiciaires (écoutes, fadettes, géolocalisations), dont le nombre a explosé ces dernières années. Aujourd'hui, une poignée de sociétés privées se partagent encore ce marché, assurant l'interface technique entre les opérateurs téléphoniques et les officiers de police judiciaire. Plus pour très longtemps.
Afin de sécuriser le dispositif, jugé trop poreux et trop cher (plus de 25 millions d'euros par an actuellement), le ministère de la justice a lancé son propre système d'interception confié au géant de la défense Thales. Après plusieurs années de travaux et pas mal de retard, la Plateforme nationale des interceptions judiciaires (PNIJ) devrait être lancée début 2014. Écartées du dispositif et voyant leur pré carré leur échapper, les sociétés privées ont multiplié les recours en justice et les actions de lobbying afin d'être associées au projet. En vain.
Dans une ultime tentative pour reprendre la main, plusieurs d'entre elles, Azur Integration, Elektron, Foretec et Midi System, se sont constituées en groupe d'intérêt économique (GIE) en mars 2012. Ces quatre sociétés représentent à elles seules 95 % des prestations effectuées dans le domaine des interceptions judiciaires. Leur objectif à travers cette alliance : dénoncer les risques de la PNIJ tout en mutualisant leurs moyens pour proposer une solution alternative de géolocalisation. Pour ses promoteurs, Pergame présente alors deux avantages indéniables : offrir une solution plus simple d'utilisation et casser les prix alors en vigueur. Ce projet va recevoir le soutien actif d'un représentant du ministère de l'intérieur.
Dans l’histoire du programme “Pergame”, il y a un personnage clé, l’ingénieur Éric Lefèvre, actuellement conseiller à l'OCLCTIC. Chargé de trouver des solutions techniques qui soient les mieux adaptées aux enquêtes de police, il fait depuis plusieurs années l'intermédiaire entre son service et un grand nombre de sociétés privées spécialisées dans les interceptions, semblant jouer les VRP pour certaines d'entre elles.
Ainsi, en septembre 2011, il a organisé lui-même une démonstration de matériel dans les murs de l'OCLCTIC pour vanter les mérites d'un petit logiciel de captation de données informatiques mis au point par une société italienne à la réputation sulfureuse, Hacking Team. « Je pense que tu pourrais être intéressé par cette présentation, les Italiens venant spécialement ce jour-là de Milan pour présenter leur produit », écrit alors Éric Lefèvre à un de ses supérieurs. L'ingénieur est aussi l'un des artisans du système “Primatice”, un dispositif mis en place avec deux autres sociétés privées au sein de l'OCLCTIC pour intercepter les flux internet. Ses compétences techniques et sa position en font donc un interlocuteur privilégié pour le GIE, dont il connaît déjà bien certains membres.
Dès le mois de mars 2012, les sociétés privées vont également mettre dans la boucle une pointure de la police nationale, Jean Espitalier. Une caution morale a priori au-dessus de tout soupçon. Cet ancien directeur régional de la PJ de Versailles multiplie les casquettes : contrôleur général de la police nationale, il est aussi chef de la Miticom (une mission du ministère de l'intérieur sur les technologies d'information et de la communication), et “personnalité qualifiée” de l'UCLAT chargée de valider les écoutes administratives dans le cadre de la lutte contre le terrorisme. Un domaine très sensible, couvert par le secret-défense.
Avec Éric Lefèvre, Jean Espitalier va être associé de très près aux premières démarches du GIE. Ensemble, les deux hommes ont participé à certains travaux préparatoires. Puis le 3 juillet, ils ont assisté à la première réunion officielle tenue dans les locaux de l'OCLCTIC afin de fixer les objectifs du GIE. C’est ce jour-là qu’est née l'idée d'installer une nouvelle plateforme de géolocalisation au sein du service. Elle ne suscitera aucune opposition, encore moins celle de Jean Espitalier. Dans son compte rendu de réunion, le GIE note même que le commissaire a ouvertement salué la « qualité » de ce système. De son côté, Éric Lefèvre assure pouvoir convaincre les opérateurs téléphoniques encore réticents. En effet, rien n'est possible sans leur accord puisqu'ils disposent des données brutes permettant de géolocaliser les propriétaires de portables.
Au cours des semaines suivantes, l'ingénieur va donc entamer les démarches directement auprès des opérateurs, auréolé de son titre de représentant du ministère de l'intérieur. Le 11 juillet 2012, accompagné d'un représentant du GIE, il est reçu par un responsable de Bouygues Télécom. Surpris par une démarche qui semble court-circuiter les instances officielles, ce dernier refuse de livrer ses données de géolocalisation et s'étonne d'être ainsi sollicité directement par une société privée.
Malgré ce refus, une première version de “Pergame” est testée sans Bouygues. Puis le 7 novembre 2012, les serveurs de la plateforme commencent à tourner dans les locaux de l'OCLCTIC. Ce choix reposerait avant tout sur des considérations techniques. La pièce qui les abrite est classée secret-défense, filmée 24 heures sur 24 et dispose des garanties de sécurité correspondantes. Elle est aussi équipée de fibre optique, facilitant le transfert des données entre les opérateurs de téléphonie et la plateforme de géolocalisation. Des précautions techniques donc, mais absolument pas bordées juridiquement. Pendant plus de deux mois, les serveurs vont ainsi fonctionner sans que personne y prête vraiment attention. Jusqu'à la visite de Manuel Valls, ce fameux 11 janvier.
Des documents que Mediapart a consultés attestent que la hiérarchie de la direction centrale de la PJ a été tenue informée des avancées du projet “Pergame”. Plusieurs sous-directeurs ont validé le projet sans ambiguïté. Des doutes sur la conformité du système apparaissent néanmoins au mois de décembre 2012 suite à la visite d'un membre du cabinet du directeur général de la police. Les principaux responsables sont alors aussitôt sommés de s'expliquer.
Mi-décembre, Jean Espitalier se fend d'un rapport expliquant qu'il a été « instrumentalisé ». Certes, la plateforme “Pergame” l'intéressait, mais à titre « expérimental » et dans le cadre des réquisitions administratives. Sur le reste, le commissaire est formel : il n'a jamais été associé « ni à la conception, ni au développement, ni à l'installation de la plateforme ». Les explications fournies à la DGPN en décembre la convainquent de transmettre le dossier à la police des polices, l'Inspection générale de la police nationale.
Entendus dans la foulée, deux membres du GIE expliquent aussi s'être fait manipuler, dénonçant ouvertement le rôle d'Éric Lefèvre dans cette affaire. Un lâchage en règle. Mais ce dernier, entendu par l'IGPN le 7 février 2013, refuse d'endosser à lui seul la responsabilité de “Pergame”. Pendant huit heures et en présence de son avocat, il a expliqué, preuves à l'appui, avoir agi avec l'aval de la hiérarchie.
Dans le cadre de son enquête, l'IGPN a également auditionné Valérie Maldonado, directrice de l'OCLCTIC. Jointe par Mediapart, elle refuse de commenter cette affaire et renvoie vers le service de presse. Plusieurs sous-directeurs ont eux aussi été entendus, et jusqu'à la numéro 2 de la PJ, Mireille Ballestrazzi, aujourd'hui présidente du comité exécutif d'Interpol. L'enquête a été close en juin, mais aucune de ses conclusions n'a été communiquée aux avocats des protagonistes entendus.
William Bourdon, avocat d'Éric Lefèvre, préfère interpréter ce silence comme un bon présage : « Je ne peux pas imaginer que les explications qu'il a fournies n'aient pas été totalement convaincantes. Si tel n'était pas le cas, on entrerait dans une logique de bouc émissaire et de fusible, ce qui serait inacceptable. »
Le rapport final de l'IGPN a été rendu le 15 juillet dernier. Si l'enquête n’a relevé « aucune faute individuelle », elle a permis en revanche d'établir que les « garde-fous qui auraient dû permettre d’éviter que cette plateforme ne rentre dans sa phase opérationnelle n’ont pas fonctionné ».
Mais aujourd'hui une autre menace guette les services enquêteurs : l'illégalité de “Pergame” pourrait frapper de nullité toutes les géolocalisations réalisées grâce à ce système. Une hypothèse d'autant plus crédible que les deux arrêts de la Cour de cassation viennent d'annuler des actes de procédure issus de géolocalisation dans le cadre d'enquête préliminaires. À cette occasion, les procureurs ont rappelé combien la géolocalisation pesait parfois lourd dans les dossiers, qui se retrouveraient bien vides en cas de nullité de certains actes.
Depuis cette affaire, le Directeur central de la police judiciaire a d'ores et déjà « pris des mesures internes afin que ce processus ne puisse se reproduire », fait savoir le ministère de l'intérieur.
BOITE NOIREAncien journaliste pour le site Owni, Pierre Alonso est spécialiste des questions de cyberdéfense, d'antiterrorisme et de “hacktivisme”. Cet article est le second qu'il écrit pour Mediapart (le premier, sur l'espionnage du Net libyen, est à lire ici).
Également journaliste indépendant, Emmanuel Fansten, qui signe ici sa seconde enquête pour Mediapart (la première, sur l'espionnage d'Olivier Besancenot, est à lire ici), est l'auteur de deux ouvrages : Scientologie, autopsie d'une secte d'État (2010) et Les Nouveaux Barbouzes (2012), tous deux publiés aux éditions Robert Laffont.
A lire aussi sur le blog de Tuxicoman : Configurer le TRIM pour SSD sur Linux