[MàJ] Opération GreenRights : relaxe de Pierrick Goujon, l’éditeur de irc.lc !

Peut-on être soupçonné de fournir des moyens pour une attaque DDOS quand on édite un service de raccourcisseur d’URL dédié à IRC ? C’est ce curieux procès qui s’est ouvert à Paris vendredi, suite à un dossier géré par la DCRI. Compte rendu d’audience.

C‘est vendredi que s’est ouvert à Paris le procès de Pierrick Goujon. Connu sous le pseudonyme Triskel, il est soupçonné d’avoir participé en 2012 à une attaque distribuée par deni de service menée par les Anonymous (expression qui ne veut en réalité pas dire grand chose). Plusieurs sites Internet d’EDF ont été à l'occasion terrassés par une pluie de requêtes web pendant trois jours (edfpro.edf.com, bleuciel.edf.com, entreprises.edf.com etcollectivites.edf.com).

Cette attaque visant un opérateur d’infrastructure vitale (OIV) avait naturellement conduit l’Agence nationale de la sécurité des systèmes d’information (ANSSI) à signaler ces faits.

Comment la police a-t-elle identifié Pierrick ? Simple : elle avait mis la main sur un tract virtuel des Anonymous mentionnant l’adresse irc.lc/anonops/operationgreenrights. Or, un simple whois sur irl.lc révélait l’identité du propriétaire du site, Pierrick Goujon. Autre élément, son IP avait été repérée dans les logs d’EDF, comme celles de centaines de milliers d’autres personnes (curieux, journalistes, etc.) qui ont consulté les sites visés par l’attaque.

Avec ces épaisses preuves sous la dent, tout s’accélère : la Direction centrale du renseignement intérieur (DCRI) prend en charge le dossier, et le soupçonne à plein nez d’avoir participé à « GreenRights », une campagne orchestrée par les « Anonymous » dans plusieurs pays européens. En réaction à la catastrophe de Fukushima, ils dénonçaient en effet la dépendance de nos sociétés à l’énergie nucléaire.

Pierrick fait alors l’objet d’une perquisition musclée, où les autorités fouillent partout (« y compris dans les culottes de ma meuf’, à la recherche d’un masque d’Anonymous » expliquera-t-il peu après à nos confrères d’Owni). Selon son avocat, « 80 gendarmes ont été mobilisés » outre « 16 super agents de la DCRI ». Triskel est mis au frais pendant 60 heures, dont 45 heures de garde à vue à Paris, loin de chez lui, à l’issue de laquelle il sera mis en examen puis placé sous contrôle judiciaire. En décembre 2013, il est finalement poursuivi pour « participation à une entente formée en vue de conduire des entraves par déni de service, contre plusieurs producteurs/distributeurs d’énergie » (323-4 du code pénal). 

« Expliquez-nous comme si on avait trois ans »

Vendredi, devant la douzième chambre du tribunal correctionnel de Paris, la justice a examiné son rôle dans cet épisode et surtout son service en ligne. « Expliquez-nous comme si on avait trois ans » lui demande d’entrée un des trois magistrats.

Défendu par Me Joseph Breham, Pierrick Goujon s’est donc efforcé de leur enseigner les bases : irc.lc n’est pas un repaire à pirates en mal d’actions illicites, mais un simple service pour se connecter plus facilement sur IRC (internet relay chat). Son site se contente en effet de proposer un raccourcisseur d’URL, ni plus ni moins, vers des passerelles web permettant de se rendre sur ces canaux d’échanges (http://IRC.LC/nomdureseau/nomdusalon/pseudonyme). Lui s’estime ainsi étranger à ces attaques, et même aux antipodes des revendications : « je condamne l’action barbare des anonymous ! (…) Je suis pour le nucléaire, chez moi ça marche à l’énergie nucléaire ! »

Seulement, plusieurs questions suivront : d’abord, pourquoi son IP s’est-elle retrouvée sur les sites d’EDF ? « C’était uniquement pour voir ce que cela donnait (…) je suis connecté sur 2 ou 300 salons en même temps, j’ai vu sur l’un d’eux, je pense, qu’anonymous avait attaqué EDF, j’ai été voir. Des pages internet, j’en visite énormément chaque jour ! »

Échanger, tout simplement

De même, comment expliquer la présence d’un lien vers irc.lc sur le flyer des anonymous ? De fait, ce document comprenait également le nom du salon et du réseau. Du coup, « avec n’importe quel client IRC, on pouvait y accéder » rétorque Pierrick. Son site irc.lc dressait en outre la liste de 450 liens vers plusieurs passerelles dont anonops (pour « anonymous operations ») mais également French Data Network, l’Inria ou Wikipedia (irc.lc/freenode/wikimedia-fr).

« Mais pourquoi favoriser la mise en relation vers la passerelle Anonops si vous n’y adhérez pas ? » s’interroge un magistrat. « Ces sites permettent simplement de discuter, d’aller sur n’importe quels salons et d’échanger ». Pour lui, l’objet n’est donc pas de donner une ampleur particulière à ce mouvement ou inciter au ralliement mais simplement de faire un travail de recensement et donner un accès vers des lieux d’échanges. « Cela fait 4 ou 5 ans que je fais des sites, pour rendre service », d’ailleurs la redirection vers anonops existait préalablement à l’accident de Fukushima et donc bien avant l’opération GreenRights.

On sait tous, personne n’ignore

Durant cette audience, suivie par quatre journalistes, l’explication ne convainc pas la procureure de la République. IRC est « extrêmement compliqué pour un néophyte » argue Alice Cherif. « Vous n’étiez pas sans savoir que ces personnes étaient susceptibles de tomber sur le réseau anonops et leurs opérations d’envergure ». Face aux trois magistrats, son avocat, dossier en main, oppose l’absence de trace d’un seul message invitant à la commission d’une telle infraction. De plus, « il y a plus simple si on veut fournir un mode d’emploi pour une telle attaque : créer une page web qui n’oblige pas à répéter sur IRC toutes les deux ou trois minutes le modus operandi ! »

Malgré cela, la procureure en est certaine : Triskel a facilité l’opération en mettant à disposition de la communauté son savoir-faire, ses équipements, son service de raccourcisseur bien référencé, sans ignorer la finalité d’Anonops et donc l’attaque DDOS qui se dessinait : « on sait tous qu’IRC est très majoritairement utilisé pour définir des dates et des cibles. Dans ce dossier, c’est très clairement passé par ces canaux qui sont très peu faciles d’accès par le néophyte », IRC « a été très très majoritairement utilisé par les membres de la nébuleuse anonymous », « IRC s’avère être un vecteur crucial pour permettre l’attaque informatique dont il est ici question », etc.

Gratifié Halfop deux jours avant l’arrestation

En somme, tout le monde « sait » que le réseau Anonymous utilise très largement IRC, mais en suivant la procureure, rares sont ceux qui sont en capacité technique d’y aller, sauf peut-être grâce à cet outil en ligne qui doit donc subir les foudres de la sanction. Ce qui lui met encore la puce à l’oreille est que deux jours avant l’attaque d’EDF, Pierrick Goujon avait été désigné « halfop » sur un salon d'anonops (#francophone), deux jours avant son arrestation, afin de lui permettre de l’administrer partiellement.

« J’ai été nommé deux jours avant que la police ne vienne chez moi, et les gens ne parlaient pas alors d’attaque ! ». Cette nomination n’a selon lui rien d’exceptionnelle: « je suis sur 200 salons en permanence, même pendant que je vous parle. À force d’être connecté 24h/24, je suis gratifié de partout. Parfois, toutes les personnes connectées sont gratifiées d’opérateurs. Quand les gens se déconnectent, je peux me retrouver alors seul ». Et pour faire valoir qu’il est un bien piètre anonymous, il révèle aussi enregistrer l’ensemble des adresses IP des gens qui se connectent. « L’anonymat, c’est pas mon truc » assure-t-il, marquant une préférence pour le pseudonymat.

IRC permet juste de discuter

Son avocat insiste sur cette lancée : Triskel n’a jamais créé ou diffusé de message incitant au ralliement à la cause Anonymous (« Je n’ai jamais incité à attaquer qui que ce soit, je suis plutôt allé sur anonops/#francophone pour indiquer de ne pas faire ça »), il n’a jamais mis à disposition de moyens techniques ou d’information permettant ces attaques DDOS (« je n’ai jamais rien rédigé »). Certes, il y a bien cette URL raccourcie vers le canal Anonops « mais IRC permet juste de discuter ! » se tuera à dire Pierrick.

La procureure réclame malgré tout 5 mois de prison avec sursis. Le délibéré est fixé au 11 décembre prochain. Fait notable : EDF, qui aurait subi dans cette attaque DDOS un dommage de 162 000 euros, ne s’est pas portée partie civile dans ce présent dossier. « Les parties civiles, elles, comprennent l’informatique » concluera l'avocat de Pierrick.