Le logiciel espion en mode « one click » de la DGSI a infecté moins d’une centaine de téléphones depuis 2018

La DGSI a tenté, en vain, d'installer un logiciel espion sur le téléphone de Mohammed Mogouchkov, la veille du meurtre de Dominique Bernard. Le logiciel « franco-français » développé par le service technique national de captation judiciaire (STNCJ) de la DGSI produirait des « résultats décevants » depuis son développement en 2018.

L'Express explique que le contrôle d'identité diligenté à l'encontre de Mohammed Mogouchkov par les policiers, jeudi 12 octobre, la veille du meurtre de Dominique Bernard, « avait notamment pour but de placer un logiciel espion dans son téléphone portable » : 

« Las, l'opération n'a pas eu lieu. Un haut cadre du ministère de l'Intérieur révèle que si le Russe de 20 ans avait bien son téléphone sur lui, les policiers n'ont pas trouvé de motif pour l'emmener au commissariat et le délester de son appareil afin de l'infecter. »

La DGSI avait en effet été alertée par les conversations entretenues « en clair » par Mohammed Mogouchkov. Il avait en outre été inscrit au fichier de signalements pour la prévention et la radicalisation à caractère terroriste (FSPRT) en février 2021, et était surveillé, mais également écouté, par la DGSI, depuis juillet 2023, en raison de ses liens avec des membres de la mouvance islamiste radicale : 

« C'est en ultime recours que la DGSI, alertée par les conversations entretenues par Mohammed Mogouchkov en "clair", décide d'un contrôle d'identité, le jeudi 12 octobre, à Arras. Mogouchkov est dans la rue en compagnie de deux personnes lorsque des agents en tenue de police secours l'abordent, discrètement accompagnés de membres de la DGSI. 

Le piratage ne peut avoir lieu dans la rue et les policiers ne trouvent aucun prétexte pour exiger de Mogouchkov qu'il les accompagne au commissariat. Faute de pouvoir lui imputer la moindre intention terroriste, les policiers le laissent libre. »

La résistible ascension du logiciel espion de la DGSI

La loi du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (dite LOPPSI 2) avait précisément légalisé la « captation de données informatiques (schématiquement, les logiciels espions) », mais un rapport avait révélé, en 2017, que cette disposition « n’a jamais été mise en œuvre, faute d’offre technologique » et ce, quand bien même « les services de renseignement ont développé des compétences en la matière, preuve qu’il n’existe pas d’obstacle technique ».

Un « coupable oubli » d'autant plus étonnant que, soulignaient les auteurs de la note, « les ministères de la Justice et de l’Intérieur, après plusieurs mois de travail, sont parvenus à un accord en mars 2017 afin de structurer l’offre étatique de logiciels espions au profit de la police judiciaire » :

« Le texte issu de ce consensus semble s’être perdu dans les limbes, victime de la fin du quinquennat. Sa publication est pourtant déterminante dans la mesure où il prévoit la création d’un service chargé de développer et de mettre à disposition des enquêteurs des solutions informatiques. Il devient urgent de le publier et de le mettre en œuvre. »

Le logiciel de la DGSI utilise la méthode du « one click »

Une « source proche du dossier » précise à L'Express que la DGSI ne dispose pas d'un logiciel espion de type « zero click », comme le Pegasus de NSO, mais également que le logiciel espion franco-français, développé « sous la houlette du très secret » service technique national de captation judiciaire (STNCJ), créé en mai 2018 et rattaché à la DGSI, « ne fonctionne pas auprès de certaines marques et de certains modèles de téléphone ».

Le logiciel du STNCJ utilise la méthode du « one click », et suppose donc que la cible clique sur un lien pour que son terminal puisse potentiellement être infecté. La Commission nationale de contrôle des services de renseignement (CNCTR) a donné l'autorisation à la DGSI de lui envoyer un tel message piégé, quelques jours avant l'attentat, mais Mohammed Mogouchkov n'a pas cliqué. Un problème qui semblerait récurrent, rapporte L'Express : 

« Selon un professionnel du renseignement technique, la méthode "one click" de la DGSI produit des résultats décevants depuis 2018, avec moins d'une centaine de téléphones infectés de cette façon en 2022. »

Et ce, alors que le nombre de « recueils et captations de données informatiques » autorisées par la CNCTR a augmenté de 38 % dans le même temps, passant de 3 082 en 2018 à 4 260 en 2022.

• « Boites noires » : les services de renseignement n'ont pas encore demandé à surveiller les URL
• 87 588 techniques de renseignement, 22 958 personnes surveillées

Un « Airbus des logiciels espions »

Ce samedi 21 octobre, huit jours après l'attentat, « la DGSI n'avait toujours pas réussi à décoder l'ensemble des conversations du terroriste sur les messageries cryptées », souligne par ailleurs L'Express : 

« Le sujet devrait prochainement s'inviter dans le débat public. Une source proche du dossier évoque une prochaine "réforme législative" afin de donner un "cadre" clair à l'utilisation des logiciels espions "zero click" et d'ainsi faciliter leur développement. Les géants du numérique rétifs à toute collaboration avec les services de sécurité devraient également être prochainement interpellés sur la question. »

Interrogé la semaine passée au sujet des moyens du renseignement et de la DGSI, Gérald Darmanin, ministre de l’Intérieur, a ainsi évoqué le fait de « pouvoir négocier » l'installation de portes dérobées dans les messageries chiffrées, afin de lutter plus efficacement contre le terrorisme.

• Messageries chiffrées : pour Gérald Darmanin, « on doit pouvoir négocier une porte dérobée »

L'Express relève en outre un autre « sujet sensible », en voie d'arbitrage, à savoir le recours à un prestataire privé, voire à la création de ce que ses partisans qualifient d' « Airbus des logiciels espions », reposant sur « une collaboration transparente entre plusieurs pays ou entreprises de l'Union européenne ».

Le sujet doit être soumis à Emmanuel Macron

Les failles de sécurité exploitées par les développeurs d'exploits « zero click » et « one click » sont en effet identifiées par un nombre croissant d'acteurs (éditeurs d'antivirus, chercheurs en sécurité, ONG de défense des droits humains), rendant de plus en plus complexe, et coûteux, le développement de logiciels espions.

Une société russe, Operation Zero, a ainsi récemment élevé la prime offerte pour de tels « exploits » ciblant les terminaux iPhone et Android de 200 000 à 20 millions de dollars, expliquant qu'ils « sont actuellement les produits les plus chers », car « principalement utilisés par les acteurs gouvernementaux » : 

« Lorsqu’un acteur a besoin d’un produit, il est parfois prêt à payer le plus cher possible pour le posséder avant qu’il ne tombe entre les mains d’autres parties. »

« Les évolutions technologiques étant constantes, la gestion des logiciels espions demande des moyens considérables, en termes de compétences et d'effectifs », soulignent ainsi les spécialistes consultés par L'Express. 

« Les modèles économiques domestiques ne permettent pas l'émergence d'une solution souveraine. Il faut donc chercher des synergies européennes », explique un connaisseur de ces dossiers, ancien membre d'un service de renseignement. 

L'Express précise qu' « il existe actuellement un bras de fer au sein de l'Etat, la DGSI s'opposant à toute entrée sur le marché d'un acteur privé » : 

« La loi l'autorise pourtant en ce qui concerne les piratages dans le cadre d'enquêtes judiciaires. Le sujet doit être soumis à Emmanuel Macron en personne lors d'un prochain conseil de défense. »