Une des images accompagnant la publication de données dérobées au syndicat de police Alliance.

La direction générale de la sécurité intérieure (DGSI), principal service de renseignement intérieur français, enquête sur la diffusion, dimanche 9 décembre, d’un fichier comprenant des informations sur près de cinq cents policiers, a indiqué le parquet de Paris au Monde, confirmant une information de L’Express. La DGSI va lier ses investigations à une enquête, ouverte le 6 décembre, sur des attaques et des menaces d’attaques informatiques, notamment sur des sites de l’Etat.

Le fichier diffusé sur des sites se revendiquant de la mouvance Anonymous, que Le Monde a pu consulter, comprend des noms, assortis de numéros de téléphones, d’adresses de courriels, et, dans certains cas, de fonctions. Il a été constitué à partir du piratage d’un forum du syndicat de police Alliance, a précisé son secrétaire général adjoint, Frédéric Lagache. « C’est un espace où les collègues peuvent poser leur candidature pour changer de ville », explique-t-il, en soulignant que les données obtenues par les pirates n’ont rien à voir avec le fichier des adhérents du syndicat. « Celui-ci est crypté, nous sommes tranquilles sur ce sujet. »

Toutefois, si l’authenticité du fichier a été reconnue par Alliance, Frédéric Lagache n’a pas été en mesure de préciser la date du piratage. A-t-il été commis ces derniers jours – et donc concomitant au mouvement des « gilets jaunes » – ou est-il plus ancien ?

#opFrance

Si la question se pose, c’est que la diffusion de la base de données sur Internet a été réalisée par une entité se présentant comme l’« Anonymous Anarchist Agency », dont les origines, les moyens d’actions et les motivations restent aujourd’hui incertains. Arborant les symboles de la nébuleuse Anonymous, ce groupe informel de hackeurs, actif depuis plusieurs années, à l’organisation complètement décentralisée (n’importe qui peut s’en revendiquer), l’Anonymous Anarchist Agency a accompagné la publication du fichier de policiers d’Alliance d’un message : « Solidarité avec les camarades qui font face à la répression en France et dans d’autres régions du monde. »

Mais est-il réellement à l’origine du piratage ? La question reste ouverte, alors que la technique est courante chez certains groupes Anonymous : faire remonter des fichiers déjà piratés et publiés de longue date pour faire croire à une opération récente. Or, sous le mot d’ordre #opFrance (« opération France »), la diffusion de la base de données issues d’Alliance s’est accompagnée de liens pointant vers deux autres bases de données.

Aperçu d’un site relié à l’opération #opFrance revendiquée par des Anonymous, donnant des liens vers des bases de données présentées comme piratées, mardi 11 décembre. Le site est depuis inaccessible.

L’une d’elles a été présentée comme une « liste du personnel du ministère de la défense » : elle contient les noms, adresses courriel, numéros de téléphones, fonctions de plus de trois mille personnes. Mais comme le note le site spécialisé en sécurité informatique Zataz, une partie des informations de cette liste semble dater des années 2000. Les coordonnées diffusées seraient donc en partie obsolètes, et ne résulteraient pas d’un piratage récent lié au mouvement des « gilets jaunes ».

En 2016, une base de données de sous-traitants du même ministère avait ainsi déjà été piratée et diffusée par des Anonymous : elle présentait alors dix mille lignes d’informations personnelles, dont certaines dataient, elles aussi, des années 2000. La version diffusée début décembre sous le mot d’ordre #opFrance, plus courte, n’en est-elle qu’un simple extrait ? Contacté, le ministère de la défense n’a, pour l’instant, pas répondu à nos questions sur le sujet.

L’autre base de données diffusée par le même collectif sous le mot-clé #opFrance provient, elle, de l’un des sites Internet de l’Ecole nationale de l’administration pénitentiaire (ENAP). Elle résulte bien d’une cyberattaque récente : Philippe Claerhout, responsable de la communication à l’ENAP, a indiqué au Monde qu’une partie du portail en ligne de l’école a été piratée le 2 décembre. L’attaque, constatée le lendemain, a touché la boutique en ligne de l’ENAP, et a permis aux pirates d’obtenir les coordonnées de 1 600 clients (nom, prénom, adresse courriel). Ce portail de vente de livres a également subi un « défaçage », c’est-à-dire que sa page d’accueil a été modifiée.

Cette intrusion s’est accompagnée d’un « message en anglais », selon les précisions de M. Claerhout, qui indique d’une plainte a été déposée et que l’enquête est en cours. Or, selon nos constatations, la diffusion de ce fichier mentionnant l’ENAP sur des sites utilisant des symboles Anonymous, à partir du 2 décembre au soir, s’accompagne aussi d’un message en anglais : il fait notamment référence… aux combats des Kurdes contre le « régime fasciste de l’AKP ».

Listes de sites cibles

Ces piratages et ces publications n’ont donc pas forcément tous de lien avec des actions liées à des « gilets jaunes ». Le mouvement se rassemblant derrière #opFrance les met toutefois en avant pour faire monter la sauce, notamment dans des textes, dont on trouve la trace à partir du 7 décembre, appelant à des actions de « communication » en lien avec la contestation des « gilets jaunes ».

Image extraite d’un communiqué diffusé par le mouvement « Anonymous OpFrance ».

Les consignes de mobilisation #opFrance donnent également des suggestions d’action (« s’attaquer directement au gouvernement comme ça il seront obliger de réduire les taxes et d’accepter les autres revendications » [sic], « bloquer les serveurs des divers banques afin de bloquer toute transactions ! » [sic], ou encore « lancer un DDOS Massif et simultannée sur les médias type bfm cnews » [sic]), mais aussi de diffusion de messages sur les réseaux sociaux traditionnels (Facebook, Twitter).

Des listes de sites Internet d’institutions, d’entreprises et de médias français sont également centralisées en tant que « cibles », dans le but vraisemblable d’opérer des attaques par déni de service (DDoS), qui consistent à saturer un site de requêtes afin de le rendre inaccessible.

Des attaques de faible ampleur

C’est dans ce contexte qu’intervient l’enquête de la DGSI sur la diffusion du fichier d’Alliance. Elle se déroule dans le cadre d’une procédure plus large, lancée le 6 décembre, concernant également, selon nos informations, des attaques et des menaces d’attaques par déni de service sur des sites du service public. Ainsi, le site des impôts a été l’objet d’une attaque DDoS samedi 8 décembre, journée de mobilisation des « gilets jaunes », aux environs de 13 h 30. Les attaquants ayant prévenu de leurs intentions pendant la semaine, les services du ministère ont paré l’attaque et leurs défenses n’ont pas été débordées.

Par ailleurs, l’entreprise FireEye, spécialisée en cybersécurité, dit avoir observé plusieurs cyberattaques visant à rendre inaccessibles des sites Internet. Parmi les victimes identifiées par l’entreprise, plusieurs sites, dont ceux de l’université de Lorraine et de l’université Paris-Sud. La première, jointe par Le Monde, dit subir ce type d’attaques régulièrement – elles sont en effet très communes et ne nécessitent guère de compétences techniques. Selon elle, la semaine dernière ne sortait pas de l’ordinaire. La seconde nous a expliqué n’avoir observé aucune attaque informatique.

Les attaques informatiques menées jusqu’ici ne sont donc pas de grande ampleur, et s’appuient sur des moyens très limités. L’utilisation des symboles « Anonymous » ne signifie pas qu’un grand mouvement se trouve derrière : signe de cette incertitude, d’autres Anonymous ont démenti, dans une vidéo mise en ligne jeudi 6 décembre, « toute opération en rapport avec le mouvement des “gilets jaunes” ».

Enfin, à ce stade, les enquêteurs mobilisés ne font pas de liens entre les diverses attaques sur lesquelles enquête la DGSI et la fuite d’une note de police sur le dispositif de sécurité concernant la mobilisation des « gilets jaunes » du 8 décembre. Rien n’indique pour le moment qu’elle provienne bien d’un piratage à proprement parler : la « fuite » semble avoir été d’abord propagée par des mouvances d’extrême droite que d’Anonymous revendiqués. Une autre enquête a été ouverte sur le sujet, et confiée à la brigade d’enquêtes sur les fraudes aux technologies de l’information.