Le JDD et le Parisien ont révélé qu'un faussaire a été identifié au terme d'une « très longue enquête » initiée en janvier 2019. Next INpact est parvenu à identifier où travaillait le faussaire lorsqu'il avait lancé son site web, en quelques dizaines de minutes seulement. Explications.
Dans un article intitulé « Comment le site "fauxdiplomes.org" a été mis hors d’état de nuire », le JDD révélait ce dimanche qu'un quinquagénaire des Bouches-du-Rhône venait d'être mis en examen aux termes d'une « très longue enquête des policiers parisiens de la Brigade de Répression de la Délinquance à la Personne (BRDP) », initiée en janvier 2019.
Si le site avait été lancé en 2015, il n'aurait été repéré qu'en janvier 2019 par les services du ministère de l’Enseignement supérieur, qui l'avait alors signalé au procureur de la République. Étrangement, fauxdiplomes.org est toujours en ligne.
Un chiffre d'affaires estimé à 500 000, voire 700 000 euros
Le site avait été préalablement mentionné dans un article du Monde, en mai 2017, qui précisait alors que « l’identification des opérateurs de ces sites reste par ailleurs compliquée, l’URL de la page de Fauxdiplomes.org renvoie par exemple vers des serveurs qui semblent être hébergés en Russie ».
Le site vendait toutes sortes de faux diplômes, à 200 euros la pièce, port compris. À en croire le JDD, il en aurait vendu entre 2 500 et 3 500, pour un chiffre d'affaires compris entre 500 000 et 700 000 euros.
Le faussaire, « aussi discret que précautionneux » d'après le JDD, se protégeait en utilisant des VPN et des cartes PCS (Prepaid Cash Service) achetées dans des bureaux de tabac sous de fausses identités, à raison de « 10 à 20 transactions par semaine à compter de 2019 ».
De plus, il encourageait ses clients à ne pas le contacter « avec une adresse mail de type @free.fr, @orange.fr, icloud.com » au motif que « nous rencontrons des problèmes d’envois sur ces mails. Vous risquez de ne recevoir aucune réponse (utilisez gmail, yahoo, hotmail, etc…) ».
« Prudent à l'extrême », d'après le JDD, sa recommandation de privilégier des entreprises américaines aurait surtout été motivée par le fait qu'elles seraient « moins accessibles aux réquisitions judiciaires ».
Protégé par son VPN, mais trahi par la vidéosurveillance...
Pour autant, l'oblitération postale de ses courriers indiquait que le faussaire agissait « depuis la région marseillaise ». Et « c’est finalement la phase du retrait d’argent liquide au distributeur de billets qui sera fatale au faussaire » :
« S… a beau changer régulièrement de villes autour de l’étang de Berre et cacher son regard aux caméras des DAB – il porte déjà casquette ou bonnet et masque anti-covid –, les enquêteurs parviennent à isoler d’abord une silhouette. Puis, grâce aux images de vidéosurveillance, à repérer un monospace de la marque Volkswagen. Avant d’identifier sa plaque d’immatriculation… »
Une autre « source proche de l’enquête » indique que « cet auto-entrepreneur du faux, totalement inconnu jusque-là des services de police », aurait « longtemps travaillé comme gérant d’un centre auto ».
De fait, il ne nous a fallu que quelques dizaines de minutes pour identifier le concessionnaire automobile où travaillait le faussaire en 2015. À défaut de savoir si ce tuyau avait été identifié par la BRDP, ni s'il aurait pu accélérer l'enquête, il nous a semblé opportun d'expliquer la méthodologie.

En cherchant les différentes pages du site indexées par Google via l'opérateur site:fauxdiplomes.org/, on découvre non seulement que son répertoire /images n'est pas protégé, mais également que s'y trouve un fichier Thumbs.db de 328k datant de juin 2015, et donc de la création du site web.
Pour se démarquer de sites concurrents et éphémères, fauxdiplomes.org se targue en effet d'exister « depuis juin 2015 », lien vers archive.org à l'appui, ancienneté qui viendrait appuyer sa réputation. Étrangement, le site arborait alors un « © 2012 ».

Wikipedia explique que Thumbs.db est un « fichier caché [qui] est utilisé par l'Explorateur Windows afin d'enregistrer une miniature des différents fichiers se trouvant dans le même répertoire que lui ».
Un paragraphe intitulé « Problèmes » précise que « ce fichier, qui n'est pas visible dans l'explorateur Windows, peut révéler des informations personnelles à l'insu de l'utilisateur » :
« Comme il crée des miniatures des images d'un dossier, il peut garder des traces de celles que l'utilisateur a effacées ou cachées. On peut l'utiliser pour prouver la présence de telles images. »
La version anglophone de Wikipedia rapporte à ce titre que « des forces de l'ordre ont utilisé ce fichier pour prouver que des photos illicites étaient auparavant stockées sur le disque dur ».
... et les vignettes du fichier (soi-disant) caché Thumbs.db
Si l'encyclopédie ne précise pas comment visionner le contenu d'un fichier Thumbs.db, il suffit de chercher « Thumbs.db viewer » pour découvrir un visionneur de fichiers qui « vous permet d'afficher et d'extraire des images miniatures stockées dans les fichiers Thumbs.db ».
Son analyse du fichier datant de 2015 révèle en effet des dizaines de miniatures, n'ayant rien à voir avec fauxdiplomes.org. On y trouve ainsi des photos de motos, de bandeaux publicitaires mentionnant un magasin « Kawasaki Cannes » à Mandelieu, et d'un concessionnaire « Pro Shop Moto (PSM) » à Antibes, que celui de Mandelieu se trouverait « ZI des Tourades », une capture d'écran de Google Maps le localisant plus précisément « allée Dieudonné Costes », une adresse e-mail, kawasakicannes@yahoo.fr et, enfin, une page LeBonCoin intitulée « Pro Shop Moto » affublée d'un logo « PSM ».
Une requête Google « Pro Shop Moto Allée Dieudonné Costes 06210 Mandelieu La Napoule » renvoie vers une page d'annonces légales indiquant qu'il s'agissait d'un concessionnaire Kawasaki, Suzuki et Peugeot qui aurait été clôturé le 31 juillet 2016.
Street View montre qu'y figure désormais une boutique Afflelou. Mais ces images d'archives confirment bien qu'en mai 2016 s'y trouvait un concessionnaire intitulé « Kawasaki Cannes », devant lequel était garé un van Ford aux couleurs de « PSM Pro Shop Moto ».
Contacté, le concessionnaire des deux magasins nous répond qu'il n'était pas au courant de la parution des articles du Parisien et du JDD, et n'avoir jamais entendu parler de cette affaire de faussaire. Il ne se souvient pas non plus avoir employé quelqu'un répondant à ce profil, nous expliquant avoir embauché de nombreux mécaniciens.
De faux aides-soignants et auxiliaires de puériculture ?
D'après le JDD, les enquêteurs auraient saisi l'équivalent de 300 000 euros « en argent liquide, en Louis d’or ou sur des comptes bancaire », et quatre véhicules :
« Mis en examen pour faux et usage de faux, contrefaçon et vente d’imprimés officiels, escroquerie et blanchiment, S… a été placé sous contrôle judiciaire avec obligation de trouver un emploi. »
Les enquêteurs chercheraient dorénavant à identifier ses nombreux clients, une tâche compliquée par le fait que « précautionneux et féru d’informatique, le faussaire avait pris soin de chiffrer la totalité de ses données informatiques, à commencer par ses fichiers clients ».
« Ce sont plutôt des jeunes, confie une source policière au JDD, entre 20 et 40 ans, en recherche d’un premier emploi ou en phase de reconversion. Aucun diplôme de médecin ou d’infirmier n’a été vendu, mais ce qui nous alerte, ce sont les gens qui travailleraient sans formation au contact de populations fragiles comme aides-soignants ou auxiliaires de puériculture… »