Exclusif PCINpact : interview du faux « pirate » de la Banque de France

Quelques secondes d'appel de trop 117
Nil Sanyas

La nouvelle a fait le tour du Web la semaine dernière : en 2008, quelqu'un a piraté la Banque de France... en tapant des numéros par Skype. Depuis, nous nous sommes rendu compte qu'aucun piratage n'avait été effectué (en savoir plus). Afin d'éclaircir certains points, nous avons interrogé le fameux « faux pirate ». Pour des raisons de discrétion, cette personne ne souhaite pas divulguer son identité publiquement.

Banque de France

« Une si petite découverte »

PC INpact. Tout d'abord, vous confirmez que vous n'avez rien piraté ?

Je n'ai rien piraté du tout. ! Surtout pas un système informatique. 

Avant d'aborder la chronologie des faits, revenons sur les articles publiés la semaine dernière. Par exemple, on a pu lire que vous étiez au RSA en 2008...

Je n'étais pas au RSA. J'avais encore à l'époque une allocation chômage. RSA et chômage, ce n'est pas vraiment la même chose. Mon contrat s'était terminé six mois avant les faits.

On a pu aussi lire, et cela a dû moyennement vous plaire, que vous viviez replié sur vous-même, comme si l'on voulait servir le cliché du pirate nerd/otaku...

Quand ils sont venus faire la perquisition, ils cherchaient mon matériel informatique, j'ai une pièce dans mon appartement où règne un vrai capharnaüm. Elle me sert de débarras, j'y stocke des cartons, des appareils informatiques, électroniques, il y a aussi pas mal d'objets assez inutiles mais que je rechigne à jeter.


Et donc j'ai téléphoné à Ouest-France pour qu'ils corrigent certains détails (NDLR : Ouest-France a écrit précisément que notre faux pirate vivait dans un logement « insalubre ». Cela n'a pas été corrigé.).

 
Vous dîtes qu'ils ont cherché un disque dur externe. Pourquoi précisément ?

Les policiers m'ont demandé où se trouvait mon matériel informatique. Ils ont donc saisi deux ordinateurs, dont un était HS, et un disque dur externe qui malheureusement pour eux se trouvait dans la pièce capharnaümique. Ils ont donc revêtu leurs habits d'archéologues et ont fini par retrouver le disque dur après une bonne suée. J'ai bien vu qu'ils étaient agacés d'avoir fait autant d'effort pour une si petite découverte.

Donc ils ne cherchaient pas spécifiquement ce disque dur externe.

Non, ils voulaient tout mon matériel informatique, et retrouver notamment l'ordinateur d'où a été passé l'appel avec Skype. Mais manque de chance, je m'en étais débarrassé, c'était mon tout premier PC portable avec une configuration très faible, je l'ai donc remplacé par un PC portable plus puissant.

Ok. Revenons à notre affaire et à l'ordre chronologique des faits. Tout a commencé en 2008...

En octobre 2008.

Vous cherchiez donc des numéros passerelles afin d'éviter de passer par des numéros surtaxés. Certains confrères ont même parlé de numéros piratés...

Oui, Ouest-France a parlé de piratage de numéros ! Comme je l'ai dit tout à l'heure ils n'ont rien compris au film, les numéros passerelles sont disponibles sur des sites hébergés en France qui existent depuis plusieurs années et qui n'ont jamais été inquietés, ils dénoncent entre autres le tarif hors de prix des appels surtaxés notamment vers certaines administrations. ce n'est absolument pas du piratage.

On compose des numéros de téléphones fixes, rien d'autre, c'est gratuit, c'est totalement légal. On cherche des services. Et quand il y a un numéro passerelle, on modifie les quatre derniers numéros ou même les trois derniers, et on peut découvrir d'autres services. Voici un exemple concret : pour consulter son compte bancaire de la banque postale par téléphone et effectuer des opérations il faut composer le 3639, coût de l'appel 0,15 euro la minute. Mais si vous faite le 01 45 45 36 39 vous accédez au même service mais gratuitement cette fois-ci, et ce numéro est donné sur le site de la Banque Postale, il sert à accéder au 3639 depuis l'étranger mais aussi depuis la France évidemment. Voila un numéro passerelle, tout simplement. Où est le piratage ?

Il est bon de le rappeler.

Oui, quand j'ai vu « pirate de numéros passerelles »... Je me suis dit : "mais quelle absurdité, cela ne veut strictement rien dire".

Effectivement. Et donc en fait, vous alliez sur des forums, pour chercher des numéros...


Tout a commencé en 2007, je discutais sur des forums et par messagerie j'ai sympathisé avec quelques personnes et certaines d'entre elles m'ont fait découvrir le monde magique des numéros passerelles. Certains numéros pouvaient s'avérer très utiles, par exemple les renseignements téléphoniques, un appel vers ce genre de service coûte très cher, le 118218 coûte 90 centimes l'appel puis 90 centimes la minute. Alors quand vous avez un numéro qui permet d'avoir le même service mais gratuitement, pourquoi s'en priver ? Surtout quand vous avez de faibles revenus.

« Je suis tombé dessus par hasard »

Mais pour la Banque de France, il n'y a même pas de numéro surtaxé.

Pas à ma connaissance. Je suis tombé sur un serveur technique, qui était à côté d'autres numéros passerelles de services de types sonneries, etc. par pur hasard.

 
Par hasard ?

Oui ! Tout simplement en modifiant les derniers chiffres d'un autre numéro passerelle qui héberge un service. Le lieutenant de police qui m'a interrogé m'a même dit que le numéro technique de Satelis (NDLR : le service téléphonique de la Banque de France pour le public) ressemblait étrangement au numéro de téléphone par défaut de Skype, le numéro qui s'affiche quand vous téléphonez de Skype vers un numéro de téléphone fixe.

Donc vous aviez une base de numéro, et vous changiez les derniers pour essayer de trouver si d'autres services étaient disponibles.

C'est ça. Quand on découvre un service qui fonctionne, il suffit de modifier les deux, trois ou quatre derniers chiffres du numéro de téléphone du fameux service. Avec cette technique, il est possible de découvrir plein d'autres services. Ça ne marche pas à tous les coups, mais c'est comme ça que je suis tombé sur la Banque de France. Et pour y arriver, je n'ai modifié que les deux derniers chiffres d'un autre numéro passerelle.

Qui n'avait rien à voir avec la Banque de France.

Absolument rien à voir ! Il pouvait être à côté d'un numéro de charme, de voyance, de service clientèle, etc. Il était dans le même bloc.

Bien sûr, pour appeler en illimité via Skype, vous aviez un abonnement n'est-ce pas ?

Effectivement, j'avais le choix du téléphone pour passer cet appel, fixe, portable, Skype... J'ai utilisé Skype pour le côté pratique, je voulais laisser ma ligne fixe disponible pour recevoir des appels et je n'avais pas de crédit sur mon téléphone mobile. D'ailleurs, si j'avais voulu faire du tort à la Banque de France, j'aurais appelé d'une cabine pour qu'on ne me retrouve pas.

Et donc avant de bloquer le service Satelis, il y a plusieurs étapes : vous faites le numéro...

Je fais le numéro, ensuite, je tombe sur une synthèse vocale qui me demande de composer le numéro du service. Donc la je suppose qu'il y a plusieurs services hébergés sur ce numéro, un peu comme les numéros surtaxés à quatre chiffres commençant par 36**, il vous demande de prononcer le service auquel vous voulez accéder par exemple, vous dite "axa assurance" ou "la poste" et vous êtes dirigé vers ce service ou vous pouvez aussi taper le code du service, par exemple 2030 pour "axa assurance" ou 2040 pour "laposte". C'est exactement ce qui s'est passé avec la Banque de France, j'ai tapé par hasard le 1819 et je suis arrivé sur le serveur vocal technique de Satelys. Je le sais maintenant mais je n'en savais rien à l'époque des faits, on ne sait pas où on est, ce numéro est réservé aux techniciens.

« Si j'avais su... j'aurais raccroché illico presto »

Dès le premier coup vous êtes tombé sur le 1819 ?

Non, j'ai essayé quelques numéros avant, mais très peu puisque je ne me suis pas fatigué, j'ai tenté des numéros simples comme 1515, 2020 et pour finir le 1819. Je n'ai pas essayé 50 000 fois, quand ça ne marche pas on raccroche et on va voir ailleurs.

Mais quand vous avez fait le numéro, vous saviez que vous accédiez au service de la Banque de France ?

Non, pas du tout, comment pourrait-on le savoir ? Ce numéro a été trouvé par hasard, on ne sait jamais où ça nous mène. J'espérais découvrir des services utiles, amusants.

Même quand vous avez appelé ?

On ne nous dit pas "bienvenue sur le serveur Satelys" ou "vous êtes bien à la Banque de France, pour neutraliser notre système téléphonique faites le 123456". C'est juste réservé aux techniciens qui normalement sont les seuls à pouvoir accéder à ce service et les seuls à savoir où ils sont. Si j'avais su vraiment où j'étais et les conséquences de cet acte j'aurais raccroché illico presto. Vingt secondes sur le serveur d'un prestataire de la Banque de France pour quatre ans de procédure, une garde à vue, une perquisition et un procès en correctionnelle où je risquais des années de prison, je m'en serais bien passé...

Donc vous faites la première suite de quatre chiffres...

Voilà, le 1819.

Et après le 1819...

On me demande un code confidentiel. Bon là, je me suis dit, je vais faire 123456, tout en sachant très bien que ça ne passerait pas. Et en fin de compte, ça a marché.

Mais il s'est passé quoi après avoir fait 123456 ?

Après, on arrive sur un menu technique. Plusieurs choix s'offrent à nous : "appuyer sur la touche 1 entraine telle action, touche 2, etc.. Les termes employés étaient assez techniques et un peu incompréhensibles quand on n'y connaît rien, mais j'ai entendu dans le menu qu'une des touches proposait le "mode crise" entre autres. Ça ne me parlait pas vraiment, voyant que ce serveur ne m'apportait rien d'intéressant, j'ai appuyé sur plusieurs touches et j'ai attendu quelques instants, il ne s'est rien passé, j'ai donc raccroché.

« J'ai appuyé sur n'importe quelle touche » 

Et donc, vous avez bien entendu qu'une des touches proposait le "mode crise", et vous vous êtes dit, non, ça ne peut pas marcher ?

Mais déjà, "mode crise", pour moi ça ne voulait rien dire. Il n'y avait pas que cette option, d'autres choix étaient disponibles, on ne se doute pas un seul instant de ce qui se passe, c'était juste un détail, qui a coûté cher...

Oui, et vous ne saviez pas que vous étiez à la Banque de France.

Non, je ne le savais pas, personne n'aurait pu le savoir à part les techniciens, et il faut savoir qu'il existe des services vocaux qui ne fonctionnent plus, c'est-à-dire qu'ils ont été désactivés, mais la synthèse vocale continue malgré tout à tourner.

Quand j'étais dans le menu, j'ai appuyé sur n'importe quelle touche, je n'ai pas vraiment écouté en fait.

Donc là on est en octobre 2008. Ensuite, deux ans plus tard, la brigade d'enquêtes sur les fraudes aux technologies de l'information vous retrouve. À quel mois précisément ?

C'était quasiment deux ans jour pour jour, là aussi en octobre.

Et quel est le premier contact ? Une lettre ?

J'ai reçu une convocation du commissariat de police avec cette mention : "pour affaire vous concernant". Sans plus de détail. Je suis arrivé dans les locaux du commissariat à 9 heures du matin. Et là, je vois deux personnes, un homme et une femme, qui me disent qu'ils sont de la Brigade de Paris. Ils se présentent, me demandent si je sais pourquoi je suis là. Et moi je dis non, au début, je ne voyais pas pourquoi j'étais là. Ensuite, ils m'ont expliqué, et voilà.

« Ils pensaient qu'on était une bande organisée » 

Et il y a immédiatement eu la garde à vue donc ?

Oui, j'ai fait une garde à vue. Ils ont pris mon portefeuille, ma montre, mes lacets de chaussures, mon téléphone...

C'est la procédure.

Oui. Ils ne sont pas venus chez moi me prendre au saut du lit. La perquisition a eu lieu après.

La garde à vue a duré combien de temps ?

Elle a commencé à 9h du matin et ça a fini vers 17h à peu près.

Et ils vous ont posé des questions sur comment vous avez fait, etc. ?

En fait, tant que la Banque de France n'a pas dit au Lieutenant que le code était 123456, ils pensaient toujours qu'on était plusieurs, que je n'avais pas pu entrer le système tout seul puisqu'ils ont découvert que je ne possédais aucun outil de piratage. Ils ont donc pensé que j'avais des complices à la Banque de France, ça c'est clair. Ça a duré jusqu'à 15h. Ils pensaient vraiment qu'on était une bande organisée. Ils m'ont donné les noms de plusieurs employés de la Banque de France ainsi que le nom d'un homme vivant à Rodez, que je ne connaissais pas évidemment.

« C'est comme s'ils m'avaient demandé ce que j'avais mangé il y a deux ans »

Mais vous savez pourquoi cela a pris deux ans pour vous retrouver ?

Pas du tout, autant de temps pour me retrouver c'est assez long, surtout que je ne me suis pas caché, alors imaginez que je me serais effectivement caché, je pense qu'ils y seraient encore. Alors quand il m'ont demandé des détails sur ce que j'avais fait, j'ai bien eu du mal à me souvenir d'un instant de 3 minutes il y a deux ans, c'est comme s'ils m'avaient demandé ce que j'avais mangé il y a deux ans le 25 octobre entre 18h et 18h15. En plus il fait ajouter à ça la pression de l'interrogatoire.

Et peut-être savez-vous pourquoi cela a encore pris deux ans entre la garde à vue et le verdict ?

Non plus. On n'est pas informé, on n'a même pas un courrier de quoi que ce soit. On a juste un courrier d'un huissier pour nous notifier la convocation au Tribunal. 

Et en fin de compte, je n'ai pas reçu de courrier avant longtemps. J'ai dû être obligé d'appeler le service du Tribunal de Rennes pour qu'ils m'informent que mon dossier avait été mis dans la pile des personnes qui vont être convoquées. Et ils m'ont dit que ça pouvait être très longs, du genre un an, un an et demi, deux ans, c'est vrai que c'est très très long. Car ce n'était pas un dossier prioritaire.

Et donc la perquisition au domicile a eu lieu quand ?

Dès le début de la garde à vue, on a été chez moi. Ensuite on est revenu, ils ont analysé mes PC portables, et en fin de garde à vue à 17h, je suis reparti avec mes affaires sous les bras. Ils m'ont tout rendu, ils n'ont rien gardé. 

Donc en fait, entre la garde à vue et la convocation au Tribunal en septembre, il ne s'est rien passé.

Non, il ne s'est rien passé. J'ai contacté un avocat quinze jours avant. C'est tout.

Et lors du procès, cela a duré un certain temps ?

Mon procès a duré environ 20 minutes. Ce n'était pas long par rapport aux autres. J'étais le dernier à passer, avant, il y avait deux dossiers qui ont été renvoyés. Je suis rentré au tribunal à 16h, heure de ma convocation, et j'en suis ressorti vers 20h15. Le premier dossier qui concernait une affaire d'agression sexuelle avec arme a duré plus de 2 heures.

Et les gens comprenaient précisément votre situation ?

Ils ont essayé de comprendre, mais... Quand on ne connait pas les numéros de passerelles, ça parle pas trop, même si on essaie d'imaginer, c'est pas évident. Pour eux, c'était du piratage, piratage. Ils ne voyaient que ça. Ils ont vu malgré tout que j'étais de bonne foi et que je n'avais absolument pas le profil d'un pirate.

La presse a même carrément affirmé que vous avez piraté des numéros passerelles.

Ah oui, le procureur, dans sa réquisition, a dit que j'avais piraté la Banque de France, qu'il y avait eu intrusion frauduleuse, mais il a été plutôt raisonnable dans sa demande de peine, et Ouest-France présent sur place n'a pas  tout compris, ils ont retenu "piratage" et rien d'autre. Le journaliste n'a même pas pris la peine de venir me poser quelques questions pour affiner son article et éclaircir certains points, pourtant j'étais à 10 mètres de lui...

Mais cela n'a pas empêché que vous soyez relaxé au final.

Oui, quel soulagement. Ils ont bien vu que j'étais de bonne foi. Que j'étais honnête. Le juge a souligné que je n'avais pas essayé de me cacher, mon IP était la vraie, j'ai acheté du temps d'appels Skype avec Paypal où sont conservés mon nom, mon adresse, mon compte bancaire et ma carte bancaire.

« C'est surtout la prison qui m'inquiétait » 

Et d'après nos informations, la Banque de France a demandé 1000 € pour préjudices. Sait-on pourquoi ?

Oui, j'ai su ça lorsque mon avocate a lu le dossier. Et elle m'a dit que la Banque de France demandait 1000 €. Mais bon, je n'étais pas trop inquiet pour ça, pour les 1000 €. C'est surtout la prison qui m'inquiétait... et puis 1000 € ça parait peu par rapport à ce qui s'est passé, mais il ne faut pas oublier qu'il y a eu négligence de la Banque de France, le code aurait été paramétré correctement je ne serais jamais entré sur le système Satelys, ils ont dû prendre ceci en compte.

C'est compréhensible. D'ailleurs, toute cette affaire a eu des conséquences psychologiques sur vous ?

Ah oui, car on ne sait pas à quelle sauce on va être mangé. J'avais peur d'aller en prison. J'ai consulté sur internet des affaires qui ressemblaient à la mienne, l'intrusion dans un système automatisé de données, etc., j'ai trouvé quelques cas de personnes qui avaient été condamnées à de la prison avec sursis et à des amendes. On ne peut pas savoir dans quel état d'esprit va être le juge et le procureur, de bonne ou mauvaise humeur. Vais-je être jugé sévèrement ? C'est quand même la Banque de France donc l'État. Vont-ils me faire payer le fait d'avoir entre guillemets attaqué l'État français ? Le fait que ce soit la Banque de France m'a quand même inquieté.

Donc c'est vrai que j'ai été assez stressé. Déjà, après une garde à vue, on est un peu sonné, et on espère que dans les six mois on aura pas de nouvelles et que finalement, il ne va rien se passer, que l'affaire sera classée sans suite. Mais après, quand on nous dit qu'en fin de compte, on va être jugé... bon, il faut encore attendre un an et demi ou deux ans... On risque plusieurs années de prison... il y avait quand même du stress.

Et financièrement ?

Je n'ai rien payé, j'ai bénéficié de l'aide juridictionnelle.

« Quelques subtilités de l'affaire ont échappé à certaines personnes »

Et vous avez été étonné des articles publiés la semaine dernière ?

Oui, j'ai été assez étonné du nombre d'articles et surtout du contenu. J'ai vu le mot piratage partout c'est assez impressionnant. J'ai quand même apprécié certains humoristes qui ont repris cette info, c'était vraiment très drôle encore plus quand ça vous concerne directement, ça dédramatise la situation.

C'est surtout parce que l'AFP a fait un papier, repris ensuite automatiquement par ses partenaires ou avec réécriture par d'autres. Avec un contenu assez étonnant, parlant même de piratage de système informatique.

Oui, quelques subtilités de l'affaire ont échappé à certaines personnes, il y a eu incompréhension. Votre article était celui qui se rapprochait le plus de la vérité. C'était bien un prestataire de service vocal, et je n'ai pas piraté la Banque de France avec un numéro de téléphone, je ne suis pas magicien !

Encore une autre erreur qui doit être corrigée, quand on dit que les codes 123456 ou 654321 auraient pu fonctionner  (NDLR : ce qu'a affirmé l'avocate), je ne vois pas comment deux codes peuvent fonctionner en même temps. Le code, était bien 123456. Ce n'était pas 654321. Pendant la garde à vue, j'ai assuré au lieutenant qu'il était évident que le code d'accès de la Banque de France n'avait pas été personnalisé et que j'avais dû faire le 123456. Le lieutenant de police s'est donc absenté le temps d'aller contacter la Banque de France pour leur demander quel était le code confidentiel qui avait été paramétré dans le système. En revenant, il me dit que la Banque de France avait été incapable de lui dire si le code confidentiel était le 123456 ou 654321 mais que c'était bien l'un des deux...

Merci pour cette entrevue.

----------

Notez que si cette interview apporte de nombreux éclaircissements, certains points demeurent encore assez troubles, notamment en ce qui concerne l'arrêt du service durant 48h et les différentes protections mises en place entre temps. Nous avons interrogé la Banque de France en ce sens et espérons avoir des réponses claires dans les jours qui viennent.


chargement
Chargement des commentaires...