Fausses alertes à la bombe : des e-mails envoyés via une adresse suisse pour "brouiller les pistes"

Des centaines de voyageurs évacués de plusieurs aéroports français. La scène s'est répétée à plusieurs reprises dans plusieurs villes la semaine dernière : Lyon, Beauvais, Nantes, Bordeaux, Toulouse, Bâle-Mulhouse ou encore Lille. Ils ont été évacués, pour certains, après des menaces formulées par e-mail. Depuis ce dimanche 22 octobre, on en sait plus sur l'origine de ces courriels : "C'est quasiment toujours la même adresse e-mail qui est utilisée, (...) et qui est située hors de l'UE, en Suisse", a affirmé le ministre délégué aux transports, Clément Beaune, sur franceinfo. 

Normalement, un e-mail est facilement traçable, "un peu comme quand on envoie une lettre à La Poste à l'adresse de l'expéditeur, explique à franceinfo Gérôme Billois, expert en cybersécurité au sein du cabinet Wavestone. À tous les mails, on a une adresse d'expédition mais il y a aussi des éléments techniques, un peu comme le cachet de la Poste qu'on met sur le timbre. Cela dit que ça a été posté tel jour depuis tel bureau de poste, etc..." Sauf que dans le cas des alertes à la bombe de la semaine dernière, le ou les auteurs de ces mails ont utilisé une technique pour masquer leur localisation. On vous explique les problèmes que cela risque de poser pour les enquêteurs, notamment pour identifier les auteurs.

Comment remonter la trace du mail jusqu'à son expéditeur ?

La première question que l'on peut se poser : pourquoi la Suisse ? "C'est un pays voisin de la France, donc la menace peut paraître plus crédible", a affirmé, ce lundi 23 octobre, à la RTS (Radio télévision suisse), Romain Riether, avocat spécialisé en nouvelles technologies. Pour Gérôme Billois, la raison semble être toute autre : "Ça aurait pu être n'importe quel autre pays", explique-t-il à franceinfo.

Pour l'expert, "le dernier maillon de la chaîne, c'est la Suisse. Mais rien ne nous dit que de cette boîte mail suisse, l'auteur ne s'est pas connecté depuis un autre pays et encore un autre pays, et encore un autre pays." En clair, ces mails de menaces ont pu tous transiter par la Suisse avant d'arriver en France. Le membre du cabinet Wavestone pense à l'usage d'un "VPN", un système qui permet de chiffrer une connexion internet en donnant une autre adresse IP (la carte d'identité de l'ordinateur, NDLR) et en masquant la vôtre. Premier objectif de la manœuvre : "Brouiller les pistes, (...) rendre plus difficile votre identification."

La complexe identification du ou des auteurs 

Quelle que soit la manœuvre utilisée, l'envoi du mail est passé par la Suisse avant d'arriver en France. Le ministre délégué aux Transports, Clément Beaune, a, d'ailleurs, fait référence sur franceinfo à "la même adresse mail" utilisée lors de plusieurs fausses alertes à la bombe. Pour Gérôme Billois, c'est un indice qui peut renseigner sur le ou les auteurs de ces mails : "On est face à quelqu'un qui cherche d'une certaine manière à masquer son identité, ou en tout cas à rendre complexe son identification", estime l'expert en cybersécurité. Il poursuit : "Cette personne prend des risques. Quelque part, elle essaye d'une certaine manière de masquer son identité. (...) Là, il y a une volonté d'envoyer un e-mail à de multiples reprises depuis l'étranger. Ça montre que l'on n'est pas face à un amateur. On est face à quelqu'un qui sait ce qu'est un e-mail et qu'il peut être tracé."

Plus de 60 enquêtes ont été lancées depuis les premières fausses alertes à la bombe. Certaines sont dues à des coups de téléphone, comme celle du jeudi 19 octobre au château de Versailles. Un homme de 38 ans avait passé un appel au château et a été condamné, lundi 23 octobre, à huit mois de prison avec sursis. Dans le cas des courriels, la traçabilité est compliquée à établir d'autant que les moyens sont nombreux pour masquer son identité.

À titre d'exemple, Gérôme Billois a eu affaire à des hackers qui ont tenté d'attaquer une entreprise du CAC 40, qui a sollicité les services de Wavestone. "Quand on a regardé l'adresse qui nous attaquait, c'était une adresse internet d'une maternelle en Corée du Sud, raconte-t-il. Vous imaginez bien que ce n'était pas des élèves de maternelle qui étaient en train de nous attaquer, mais c'était un serveur qui était vulnérable en Corée qui avait été pré-piraté par un attaquant. Il s'en servait comme d'un rebond pour masquer ses traces."

Quelles conséquences pour l'enquête ?

Le premier frein à l'enquête est posé par le statut de la Suisse : la Confédération helvétique n'est ni membre de l'Union européenne, ni d'Europol, l'agence policière européenne. Il existe des accords de coopération judiciaire et policière entre les deux pays, qui ont été renforcés l'année dernière. Néanmoins, les autorités de la Confédération n'ont "pas connaissance d'une demande d'entraide judiciaire émanant d'un ministère public français", explique à franceinfo l'Office fédéral de la Justice (OFJ), l'équivalent suisse du ministère français de la Justice.

"On ne peut toutefois pas exclure que les autorités françaises aient agi (...) dans le cadre de l'entraide administrative internationale en matière de police", poursuit l'OFJ. Dans tous les cas, l'enquête peut prendre du temps. "Toutes les demandes d'entraide judiciaire sont toujours longues, explique Gérôme Billois. Parce qu'il faut que l'infraction qui est constatée en France soit exprimée aussi dans un contexte suisse et soit ensuite approuvée du côté suisse." L'étape suivante est de transmettre une demande "à la plateforme de messagerie qui va, peut-être, pouvoir donner des informations techniques."

"Une coopération entre pays peut parfois prendre quelques jours. Par contre, dans les délais plus classiques, on est plutôt sur une attente de plusieurs mois."

Gérôme Billois, expert en cybersécurité au sein du cabinet Wavestone

à franceinfo

En résumé, l'enquête peut prendre beaucoup de temps entre la France et la Suisse, d'autant que la majeure partie des investigations se déroule côté français. Les auteurs des fausses alertes à la bombe risquent trois ans de prison et 45 000 euros d'amende.