Les services spécialisés de la police de Paris ont procédé mardi à deux arrestations de membres d'Anonymous, dans le cadre d'une enquête sur des attaques ayant visé notamment le ministère de la Justice. Elles auraient permis aux hackers de mettre la main sur des identifiants donnant l'accès aux textes de loi et autres circulaires en préparation.

Selon des informations obtenues par Numerama, deux Anonymous ont été placés en garde à vue mardi par l'Office central de lutte contre la cybercriminalité (OCLCTIC), dans le cadre d'une enquête sur le piratage de l'intranet du ministère de la Justice. Un fichier contenant environ 1500 e-mails et mots de passe en clair de fonctionnaires de la place Vendôme aurait été obtenu le 9 février 2012, permettant aux hackers d'accéder à l'intranet du ministère et d'y découvrir notamment les circulaires et autres textes de lois en préparation. 

Ces arrestations interviennent quelques jours après que la ministre Christine Taubira a demandé une enquête sur la fuite dans la presse d'une circulaire sur la politique pénale de la nouvelle garde des Sceaux, avant-même sa présentation en Conseil des ministres. Cependant, rien ne permet pour le moment de lier les deux affaires.

L'un des deux prévenus aurait été sous surveillance au moment des faits, car il était suspecté d'avoir été à l'origine deux semaines plus tôt d'attaques DDOS sur les sites de l'Elysée et du ministère de la Défense. Ces attaques visant à saturer de connexions les sites visés avaient été réalisées entre les 21 et 23 janvier, au lendemain de l'opération mondiale réalisée par Anonymous en réaction à la fermeture de MegaUpload.

Sous surveillance pour des attaques DDOS ?

La nouvelle attaque réalisée contre le ministère de la Justice, en février, aurait permis au hacker d'accéder à un serveur du ministère de la Justice, et de découvrir le fichier contenant les identifiants permettant d'accéder à l'intranet. Ce fichier a ensuite été envoyé via Facebook à un autre Anonymous, lui aussi gardé à vue ce mardi 2 octobre, mais finalement relâché en qualité de simple témoin. Le principal suspect, lui, a été maintenu en garde à vue prolongée.

Selon nos sources, c'est à partir de copies d'écran obtenues au moment de la surveillance que la police aurait découvert que le suspect avait obtenu et transmis le fichier à un potentiel complice. Depuis la loi LOPPSI et la publication du décret du 3 novembre 2011, les autorités policières ont en effet le droit d'installer des mouchards pour surveiller l'activité informatique de leurs suspects, ce qui peut passer par l'installation de dispositifs envoyant à intervalles réguliers des captures d'écran réalisées depuis l'ordinateur du suspect. La loi dit que les policiers peuvent installer "un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères".

Cependant nous n'avons pas pu vérifier cette information auprès des agents de police concernés, qui n'ont pas souhaité répondre à nos questions (nous attendons toujours depuis ce matin une réponse du service de communication de la police nationale). Elle est à prendre avec beaucoup de prudence, puisqu'elle soulève plusieurs incohérences ou curiosités. Pourquoi, si elle avait connaissance dès le mois de février de cette conversation, l'OCLCTIC n'a-t-elle pas obtenu copie des conservations directement auprès de Facebook, s'agissant de messages privés archivés sur les comptes des suspects ? Ils n'en auraient eu, jusqu'à mardi, que des extraits. Par ailleurs, s'ils ont eu connaissance du piratage dès le 9 février, pourquoi les services anti-cybercriminalité ont attendu le 2 octobre pour procéder aux arrestations ?

Les gardes à vue auraient permis aux enquêteurs de s'assurer que le fichier découvert n'a pas été diffusé, notamment auprès d'autres Anonymous.

Selon la conversation Facebook dont Numerama a pu prendre connaissance, le principal suspect aurait souhaité utiliser les identifiants pour accéder aux mails des fonctionnaires, afin de diffuser l'intégralité sur Internet. Il semble toutefois que son plan n'a pas été mis à exécution.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !