SAN FRANCISCO — Abu Majad s’était toujours dit que le jour où Daech le rattraperait, ce serait avec un couteau dans une rue sombre ou avec une bombe cachée dans sa voiture. Cet homme de 34 ans, qui vit dans le Sud de la Turquie depuis qu’il a fui la Syrie, il y a presque trois ans, sait que son opposition ouverte au groupe État islamique —sur internet et dans sa ville natale du Nord de la Syrie— l’a placé dans la ligne de mire du groupe terroriste. Ce à quoi il ne s’attendait pas en revanche, c’était à se réveiller le matin du 29 mars en découvrant un virus implanté par Daech dans la pièce jointe d’un mail apparemment inoffensif.
«Il ressemblait en tous points à un vrai mail, envoyé par l’administrateur de mon propre site internet. Il avait l’air sûr mais il ne l’était pas. Ils étaient en train d’essayer de récupérer mes identifiants de connexion et mes mots de passe. Ils essayaient de s’emparer de choses qui auraient pu mettre de vraies vies en danger», raconte Abu Majad, qui a demandé que son surnom seul soit utilisé pour se protéger et protéger la famille qu’il lui reste en Syrie de représailles du groupe État islamique.
«C’était fait très intelligemment. Quand je l’ai vu, je me suis dit merde, ce sont des hackers professionnels maintenant?»
Selon les experts en cybersécurité et les agences de renseignements qui surveillent Daech, ce malware (logiciel malveillant) est un signe supplémentaire que le groupe État islamique s’y connaît de plus en plus en modes d’utilisation d’internet.
«J’avais l’habitude de voir dans des cafés des combattants de Daech à peine capables de se connecter et de consulter leurs mails. Je ne m’attendais pas à ce qu’ils soient si calés.»
«Je crois qu’on peut affirmer sans exagérer qu’internet est une des principales raisons qui expliquent à la fois la réussite de Daech et le problème qu’il représente en termes de mouvements terroristes internationaux», explique, sous anonymat, un agent des renseignements américain à BuzzFeed News. «Ils ont toujours été “bons” sur internet, stratégiquement parlant. Maintenant, ils sont aussi plus futés dans leur manière de l’utiliser.»
Bon nombre d'agences de renseignements essaient de comprendre comment Daech utilise internet. Le besoin de communiquer en ligne de façon sûre se fait de plus en plus sentir à mesure que le groupe djihadiste attire de nouveaux sympathisants dans le monde entier. Si la grande majorité des combattants du groupe en Irak et en Syrie n’utilisent probablement internet que pour envoyer des photos à leurs familles par le biais de groupes WhatsApp, les renseignements américains pensent qu’une petite unité à l’intérieur de Daech dirige les ambitions cybernétiques du groupe, qui vont de la collaboration avec des hackers pour lancer des cyberattaques contre leurs ennemis à la publication de manuels aidant leurs sympathisants à masquer leurs communications en ligne et à se protéger de ceux qui les traquent.
Ce qu’Abu Majad a découvert ce matin de mars était un mail qui avait l’air de venir de son propre site internet, et qui lui demandait de se connecter pour vérifier ses informations. À l’intérieur du mail, il y avait un «dropper» —un logiciel malveillant utilisé pour implanter d’autres logiciels dans un ordinateur à l’insu de son utilisateur.
«Ils auraient eu accès à tout si j’avais ouvert ce lien», souffle Abu Majad, qui possède des informations sensibles sur son ordinateur au sujet d’autres activistes qui, comme lui, essaient de s’opposer au joug de Daech en Syrie. Il fait notamment sortir clandestinement des photos et des vidéos qui illustrent la difficulté pour les civils de vivre sous la férule du groupe djihadiste. Abu Majad insiste sur le fait qu’il n’a pas cliqué sur le lien, mais refuse de révéler comment il a su que c’était un malware. «J’avais l’habitude de voir dans des cafés des combattants de Daech à peine capables de se connecter et de consulter leurs mails. Je ne m’attendais pas à ce qu’ils soient si calés.»
Daech aidé par un réseau étranger
Dlshad Othman est ingénieur en cybersécurité pour l’ISC Project, qui fournit une assistance en sécurité de l’information à des groupes défendant les libertés civiles et étudie aussi le groupe État islamique. Il explique qu’il a récemment vu des malwares utilisés dans des attaques contre des journalistes syriens et kurdes et des sites qui essaient de combattre la propagande de Daech en ligne.
«Le groupe vise les sites qui le dénoncent ouvertement», rapporte Othman, donnant comme exemple l’organisme Raqqa Is Being Slaughtered Silently, un groupe d’activistes qui essaie de diffuser des informations depuis l’intérieur de Raqqa, la capitale du califat autoproclamé de Daech.
«Ils visent des gens qui essaient de révéler ce que Daech est vraiment en train de faire en Syrie, ce qu’ils considèrent comme une menace à leur recrutement et à leur propagande.»
Othman a montré à BuzzFeed un des mails qu’il était en train d’analyser, porteur lui aussi d’un logiciel malveillant. Il a remonté la piste de ce mail jusqu’à des adresses IP en Turquie et au Qatar, autre signe, dit-il, que Daech se fait aider par un réseau en dehors de l’Irak et de la Syrie pour réaliser des cyberattaques.
«Les logiciels malveillants, les campagnes de phishing ou les attaques DDoS sont toutes des choses que j’ai déjà vues», explique-t-il. «Les attaques actuelles de droppers sont nouvelles et plus sophistiquées. Ce que nous voyons, c’est que le groupe grandit et fait évoluer ses capacités. Ce que nous voyons est inquiétant.»
«Frère tu utilises VPN pour site?»«Non frère, ça c’est de la merde. Utilise Tor.»
Voici un exemple de conversation sur un canal privé du groupe État islamique dans l’appli de messagerie Telegram, un récent dimanche après-midi:
Ce genre d’échanges apparaît quotidiennement sur Telegram, une application de messagerie basée à Berlin et créée par Nikolaï et Pavel Durov, les fondateurs de VK, le plus grand réseau social de Russie.
À l’automne 2015, l’utilisation de Telegram a flambé chez les partisans de Daech et Pavel
Durov a confié à un panel de TechCrunch en septembre 2015 que «la confidentialité,
au final, et notre droit au respect de la confidentialité sont plus importants que notre crainte que de mauvaises choses se produisent, comme le terrorisme.» Une déclaration que certains considèrent comme sa manière d’annoncer que Telegram n’éjecterait pas les canaux de Daech de sa plateforme.
Des manuels pour effacer son empreinte électronique
Si des dizaines de canaux ont été fermés depuis, les supporters de Daech semblent toujours opérer plus librement sur Telegram que sur d’autres applications. Parmi les vidéos de décapitation, les versets du Coran et les réflexions d’ordre général sur le califat
autoproclamé du groupe, on trouve un déluge de conseils sur la manière
d’utiliser internet. Des guides en français, espagnol, allemand, anglais, arabe
et turc passent de l’un à autre en proposant des instructions détaillées sur la
manière d’effacer au maximum son empreinte électronique en cachant
l’emplacement géographique et les informations personnelles identifiables d’un
internaute.
Ces conseils sont supposés permettre aux partisans de Daech de rester en sécurité, mais la plupart du temps, c’est un fatras d’opinions contradictoires qui embrouillent plus qu’autre chose.
Comme de nombreux sympathisants de Daech, qu’on appelle aussi des fanboys, un homme surnommé Abu Jihad fait des sauts de puce entre plusieurs réseaux où les
informations du groupe sont diffusées, discutées et partagées. Ses incontournables du moment sont Telegram et Twitter, bien que ce dernier, affirme-t-il, soit de moins en moins pratique pour Daech, le réseau ayant tendance à fermer les comptes associés au groupe ces derniers temps.
Il a utilisé WhatsApp et Kik à plusieurs reprises avant d’abandonner ces programmes de messagerie qu’il n’estime «pas assez sûrs». Il a également laissé tomber Zello, une application qui permet aux groupes d’envoyer aux participants/membres de courts messages audio, un peu comme un talkie-walkie, lorsqu’il s’est rendu compte qu’elle
était envahie par des partisans de Daech qui lisaient des versets du Coran. Il a entendu parler d’une nouvelle application appelée Alwari, qui aurait été créée par des partisans de Daech, mais explique ne pas réussir à savoir où la télécharger.
«Être anonyme en ligne est le plus important, pour pouvoir aider le djihad en toute sécurité quand le temps sera venu», écrit Abu Jihad à BuzzFeed News dans un message privé sur Telegram. Tout en refusant de donner son vrai nom ou d'indiquer où il se trouve, il ajoute:
«Les kouffars (mécréants, ndlr) font en sorte que ce soit le plus dur possible, mais nous trouvons toujours un moyen d’y arriver.»
Trouver le moyen de se connecter à d’autres partisans de Daech est une quasi-obsession pour Abu Jihad, qui vit probablement dans un pays occidental étant donné sa facilité d’expression en anglais et ses horaires.
«Certaines rumeurs disent que nos forums sont infectés. Mais on ne peut pas se passer d'internet.»
Comme beaucoup d’autres qui ont choisi ce nom de guerre, qui peut se traduire par «père de la guerre sainte» ou «père de la lutte», il n’a jamais combattu et se contente d’admirer Daech à l’abri derrière son écran.
Au moins une fois par semaine, Abu Jihad croit repérer un agent de la CIA dans les canaux de Telegram qu’il surveille.
«Internet est rempli d’espions américains et israéliens», écrit Abu Jihad à BuzzFeed dans un message privé, avant de demander davantage de détails sur l’endroit où se trouve BuzzFeed News et si nous avons une orientation politique. «Tout le monde sait que la plupart des journalistes sont des espions.»
La contre-attaque des agences de renseignements
Les agences de renseignement américaines laissent entendre qu’elles sont actives sur les canaux de communication de Daech. Lors d'une interview avec BuzzFeed News sur les
récentes initiatives de Twitter pour débarrasser son site de milliers de comptes
liés au groupe djihadiste, un responsable du ministère de la Défense a plaisanté:
«C’est dommage quand même que dans le même temps, Twitter ait attrapé autant de nos appâts.»
«Nous essayons d’être présents partout où Daech discute», explique ce responsable qui a accepté de nous parler sous couvert d’anonymat car il n’est pas autorisé à s’adresser à la presse.
Or, à en croire les experts en cybersécurité, les États-Unis ne se contentent pas de surveiller ces canaux. Le mois dernier, le vice-secrétaire à la Défense Robert Work a confié à des journalistes: «En ce moment, c’est l’angoisse pour Daech.»
«Nous lançons des cyberbombes. Nous ne l’avions encore jamais fait», a-t-il expliqué aux journalistes. «Tout comme nous avons une campagne aérienne, je veux une cybercampagne. Je veux utiliser toutes les capacités spatiales dont je dispose.»
Cette réflexion a été interprétée comme une référence aux malwares que les agences de renseignement américaines essaieraient d’implanter dans des forums de Daech et qui, s’ils étaient installés par des partisans de Daech, pourraient permettre de traquer, voire de pirater un ordinateur.
En Californie la semaine dernière, le secrétaire américain à la Défense Ashton Carter, a confié aux journalistes: «Nous allons censurer, duper et perturber les réseaux du groupe État islamique jusqu’à la destruction.» «Certaines rumeurs disent que nos forums sont infectés», avance Abu Jihad. «Mais on ne peut pas se passer d'internet.»
Les connaissances informatiques «superficielles» de Daech
Le mois dernier, Dar Al-Islam, magazine en ligne publié en français par Daech, a sorti son neuvième numéro comprenant une rubrique spéciale de 16 pages consacrée à la sécurité en ligne, proposant des instructions détaillées pour utiliser plusieurs programmes permettant d’accéder en toute sécurité aux canaux de Daech et de communiquer avec d’autres sympathisants.
C’est loin d’être le premier guide d’utilisation d’internet du groupe. Mais alors que les manuels précédents n’étaient guère plus que des traductions de guides de sécurité internet préexistants, celui-là montre l’évolution de la manière dont le groupe comprend la sécurité en ligne. Alors qu’autrefois ils se contentaient de mentionner le nom d’un programme et de copier-coller une description, le manuel français, et les versions similaires publiées sur les forums en ligne de Daech, comprennent des instructions détaillées sur la façon d’étager différents programmes, comme utiliser un VPN pour cacher son emplacement, tout en envoyant des mails chiffrés qui masquent le contenu d’un message.
Dar al-Islam présente Tails, un système d’exploitation prisé des défenseurs de la confidentialité et rendu célèbre par Edward Snowden, comme le meilleur moyen de se rendre en ligne en toute sécurité. Tor, également très apprécié pour sa capacité à rendre les communications anonymes en les faisant passer par plusieurs serveurs sélectionnés au hasard et en chiffrant le trafic, est vilipendé par le magazine, qui prévient que des «espions» travaillent probablement de l’intérieur pour intercepter le trafic.
Que ce soit dans l'évocation de programmes comme Telegram et WhatsApp au chiffrement intégré ou dans une description de la manière d’utiliser PGP pour encoder les mails, la cryptographie tient une grande place dans le magazine.
Un expert en sécurité connu en ligne sous le pseudo de «the grugq» mais dont les blogs et les tweets sont largement lus par les experts en cybersécurité, suit de près la manière dont Daech communique en ligne. Après avoir analysé le magazine, il a confié à BuzzFeed News que selon lui, Daech n’a qu’une compréhension très limitée de la manière dont fonctionne le chiffrement.
«L’auteur pense que la cryptographie est la solution à tous les problèmes», explique the grugq dans un mail à BuzzFeed News, où il souligne que le journal Dar al-Islam passe à côté d’autres techniques, comme apprendre aux utilisateurs comment rester anonyme en ligne en ne révélant jamais des informations personnelles comme leur vrai nom, leur date de naissance ou leur pays d’origine, et en ne remplissant jamais de formulaires en ligne.
«L’auteur n’est pas clair au sujet des vraies menaces auxquelles les djihadistes sont
réellement confrontés. Croire que le codage est la panacée pour tous les dangers
auxquels sont confrontés les djihadistes en ligne montre à quel point la perception
de l’auteur en matière de sécurité est inconsistante.» D’après lui, leurs
connaissances sont «superficielles et inspirées, comme d’habitude, de manuels
sur la confidentialité».
«Ce qu’il faut retenir de ce guide, c’est que l’auteur croit si fort dans le chiffrement qu’il pense que ça va tout résoudre. C’est la conviction ignorante que «disparaître» est aussi simple que de télécharger TAILS. Dans le monde réel, les États ne se laissent pas décourager par un petit peu de codage», explique-t-il.
Si Daech avait davantage chatté en ligne avant les attentats de Paris, les agences de renseignements auraient pu en savoir suffisamment pour les arrêter.
Thomas Rid, enseignant au département des études sur la guerre du King’s College de Londres et auteur de Rise of the Machines, un livre qui explique pourquoi les gens ont peur de la surveillance numérique, affirme être impressionné par le niveau de détail du manuel, tout en mettant en doute les conclusions qui y sont tirées au sujet de certains programmes.
Par exemple, le groupe ne fait pas confiance à TOR, un réseau d’anonymisation
qui envoie les utilisateurs à travers plusieurs serveurs sélectionnés de manière aléatoire pour les aider à cacher leur identité. Malgré la popularité de TOR auprès des activistes du monde entier, Daech ne lui fait plus confiance depuis la publication de rapports affirmant qu’il a été piraté, et parce qu'il soupçonne que la CIA ou le NSA contrôlent secrètement certaines parties du réseau pour espionner ses utilisateurs. Selon de récents aveux, d'ailleurs, Matt Edman, ancien programmeur de Tor, a aidé le FBI à créer des malwares pour démasquer des utilisateurs du logiciel.
«En général, les détails techniques fournis sont impressionnants —avec quelques erreurs, mais remarquables pour ce qui, après tout, est un magazine généraliste pour djihadistes» estime Rid à BuzzFeed News.
Mais si certains au ministère de la Justice et au FBI vendent l’idée des dangers du chiffrement, les responsables des renseignements du ministère de la Défense et de l’armée des États-Unis estiment que même si les conseils sur le codage inondent les forums du groupe État Islamique, très peu les utilisent et encore moins sont susceptibles de le faire correctement. Un officier militaire a déclaré que malgré les craintes de certains responsables de la sécurité que des groupes militants ne «disparaissent» en utilisant la cryptographie et en cachant leurs activités en ligne, envoyer un mail chiffré reste un processus compliqué et sujet à erreurs.
«Même les gens qui utilisent ces programmes tous les jours font parfois des erreurs. Les processus décrits par Daech ne sont pas intuitifs. Plus ils utilisent ces programmes, plus il y a de chance que quelqu’un fasse une bourde, se trompe en les utilisant et ainsi, s’expose», révèle un responsable des renseignements militaires à BuzzFeed News. «Dans un sens, c’est mieux pour nous qu’ils intensifient au maximum leur présence en ligne. Plus ils sont présents en ligne, plus nous avons d’empreintes numériques à suivre.»
Si Daech avait davantage chatté en ligne avant les attentats de Paris et de Bruxelles, a-t-il ajouté, les agences de renseignements auraient pu en savoir suffisamment pour les arrêter.
Doutes autour des communications chiffrées des terroristes
Les attentats de Paris et de Bruxelles ont déclenché un débat mondial sur le chiffrement et le terrorisme.
Chaque mois, 50.000 personnes tapent «rejoindre Daech» dans Google.
D’un côté, certaines agences de renseignements et gouvernements disent être passés à côté des indices qui auraient pu signaler la préparation d'attentats parce que Daech utilisait le dark web pour communiquer, en envoyant des messages chiffrés indécodables.
De l'autre, les activistes et les experts en cybersécurité expliquent qu’on a peu de
preuves que les terroristes aient utilisé des techniques sophistiquées pour masquer leurs communications. C’est même tout le contraire, avancent-ils: les terroristes vivaient dans le même appartement et utilisaient la bonne vieille méthode des téléphones prépayés qu’ils remplaçaient régulièrement.
Et puis il y a certains médias qui ont semblé confirmer l'utilisation du chiffrement, ou découvert que des signalements d’envoi de mails chiffrés par Daech ont été retirés du web quelques jours à peine après leur publication.
Le mois dernier, Le Monde et le New York Times ont publié des articles basés sur des documents des renseignements français rapportant le cas de Reda Hame, informaticien parisien de 29 ans qui s’est rendu en Syrie pour rejoindre Daech mais qui a, à la place, suivi une formation accélérée avant d'être renvoyé en France pour perpétrer un attentat. Les articles racontent comment Hame, arrêté en août dernier par la police française, a fourni les détails de son entraînement, notamment comment il a été formé à utiliser TruCrypt, une application de cryptographie, et comment, avant son retour en France, on lui a remis une clé USB contenant le programme.
Ces reportages ont semblé confirmé le premier constat d'une agence de renseignement occidentale selon lequel un membre de Daech utilisait le chiffrement. Mais lorsque les experts en cybersécurité se sont penchés sur les détails fournis par Hame, des questions sur la réelle efficacité de la méthode décrite dans l’article ont émergé, car il faudrait chiffrer et télécharger un disque entier —ce qui laisserait une vaste empreinte numérique et une bonne marge d’erreur humaine possible à chaque téléchargement.
Un autre article publié dans le New York Times sur les attentats de Paris a également semé le trouble chez les experts en cybersécurité lorsqu’ils ont lu dans un paragraphe-clé: «Selon les rapports de la police et les interviews avec les responsables, aucun mail ou autre communication électronique des terroristes n’a été retrouvé, ce qui pousse les autorités à conclure que le groupe a utilisé le chiffrement. Quel genre de chiffrement, cela reste à déterminer.»
Le problème, signalent les experts en cybersécurité, c’est que le chiffrement laisse des traces partout. Quand un mail chiffré est envoyé, il apparaît quand même dans les boîtes de messageries et les dossiers d’envoi, le texte étant simplement brouillé. Si vous n’avez pas de clé pour débloquer ce texte (ou la technologie que certaines agences de renseignement, notamment américaines, possèdent pour décoder des mails chiffrés), vous ne pouvez voir qu’un fatras incompréhensible. Si les terroristes de Paris avaient envoyé des mails chiffrés à leurs responsables en Syrie, les messages codés auraient quand même dû être présents.
Étant donné que ni les enquêteurs français, ni les enquêteurs belges n’ont rendu public ce qu’ils ont pu découvrir sur les attentats, impossible de dire quelles preuves ils pourraient avoir sur la manière dont les attaques ont été préparées. En attendant, les experts en cybersécurité comme the grugq, qui tient une liste à jour des divers attentats liés à Daech et des rapports ayant confirmé ou non l’usage de communications chiffrées pour les préparer et les perpétrer, continuent d’essayer de trouver des indices dans ce qui fuite dans la presse.
Google a annoncé récemment que plus de 50.000 personnes tapaient «rejoindre Daech» dans son moteur de recherches chaque mois.
«Ce qui rend le groupe État Islamique si dangereux, c’est que si vous essayez de les rejoindre demain, Google vous fournira la plupart des réponses.»
Des responsables jordaniens affirment qu’en moyenne, 100 Jordaniens entrent la phrase sur Google chaque semaine. Les premiers résultats en arabe proposent des instructions détaillées étape par étape, du bon moment pour faire son sac à ce qu’il faut dire à ses parents, affirme un agent des renseignements jordaniens.
«Ce qui rend le groupe État Islamique si dangereux, c’est que si vous essayez de les rejoindre demain et que vous ne savez pas trop par où commencer, Google vous fournira la plupart des réponses», rapporte cet agent qui a accepté de parler à BuzzFeed News au téléphone à condition de ne pas révéler son nom, car Daech a déjà menacé d’assassiner des fonctionnaires comme lui en Jordanie. Et d'ajouter:
«Même si on ferme toutes les mosquées, et [qu'on arrête] tous ceux qui soutiennent Daech en Jordanie, il y aura toujours les vidéos YouTube montrant des jeunes hommes et des fusillades semblant tout droit sorties d’un film hollywoodien. Il restera toujours Twitter où des hommes postent des messages sur le paradis dans lequel ils vivent, avec trois épouses et une maison, et il y aura toujours WhatsApp et Telegram et tous les autres réseaux pour leur permettre de communiquer personnellement avec qui bon leur semble.»
En plus de Telegram ou de Whatsapp, les sites de rencontre
Pour cet agent des renseignements, Daech trouve toujours le moyen d'exploiter chaque plateforme existant en ligne.
«À la fin de l’année dernière, nous avons été contactés par une famille habitant près de Zarka qui pensait que sa fille discutait en ligne avec des gens dangereux», raconte l’agent, en mentionnant la deuxième plus grande ville de Jordanie. Je leur ai dit: «Fermez ses comptes Twitter et Telegram», mais ils ont répondu: «Non, c’est le site de rencontre où elle s’est inscrite.»
Leur fille avait été approchée, par le biais d’un site de rencontre en arabe pour musulmans dévots, par un jeune homme qui prétendait vivre dans la ville syrienne de Raqqa. Il était en train de l’inciter à se rendre là-bas.
«Il lui a parlé de la grande maison qu’elle aurait, et de ses serviteurs. Son mari serait un beau combattant… il lui a même envoyé des photos des superbes bijoux qu’il lui achèterait pour leur nuit de noce», raconte l’agent des renseignements. Il rapporte que la jeune fille a été stoppée avant de pouvoir atteindre la Syrie, mais refuse de dire si elle a été emprisonnée par la police jordanienne. «Son histoire prouve que Daech recrute jusque sur les sites de rencontre.»
Traduit par Bérengère Viennot