Enquête

Antiterrorisme : l’espion aux espoirs déçus

Contacté en 2014 par les services de renseignement intérieurs, Gabriel a infiltré pour eux la nébuleuse jihadiste sur Internet, motivé entre autres par une promesse de naturalisation. Finalement lâché par ses supérieurs, il s’estime aujourd’hui trahi.
par Jean-Manuel Escarnot, correspondant à Toulouse
publié le 16 février 2017 à 20h06

Une gare quelque part en France. Un rendez-vous posté dans les brouillons d'une boîte mail dédiée à cet usage, ni téléphone ni ordinateur. «Rien qui puisse nous géolocaliser.» Après une demi-heure d'attente, un homme vient s'asseoir à la table du café, prend la place laissée vide avec vue sur l'entrée. Casquette sur la tête, il commande un jus d'orange, observe la rue et la salle sans s'attarder, chasse la tension d'un sourire désarmant. Gabriel (1) a de bonnes raisons de se méfier. Pendant neuf mois, sa mission a été d'infiltrer et de pirater les réseaux jihadistes sur la toile en France et en Syrie pour le compte de la Direction générale de la sécurité intérieure (DGSI). Un «agent», dans le langage des services de renseignement. Pas un indic ni une balance. L'argent n'a jamais été sa motivation.

Mémoire d’éléphant

Musulman et hackeur doué en code et piratage de données, il a agi en son âme et conscience pour, dit-il, lutter «contre le terrorisme et aider la France». Il a longtemps hésité avant de raconter son histoire. Si ses «traitants», les deux agents de la DGSI avec qui il travaillait, avaient tenu leurs engagements, il ne l'aurait sans doute jamais fait. Etranger titulaire d'un permis de séjour arrivant à expiration lors de sa première mission pour la DGSI, Gabriel ne leur avait pourtant rien demandé. «Après avoir vu de quoi j'étais capable, ils m'ont promis de m'obtenir la nationalité française et de m'embaucher», affirme-t-il. Identification, localisation, traçage et piratage sur différents réseaux sociaux… «Parfois, ils m'ont envoyé au contact. J'ai pris des risques. J'avais confiance en eux. Je travaillais pour la bonne cause et dans le bon camp. J'étais sûr qu'ils respecteraient le deal», insiste-t-il.

Jour et nuit, en dehors de son travail, Gabriel s'investit à fond dans ses missions. «Mes traitants me transmettaient les félicitations de leur hiérarchie. Trois fois de suite, ils sont intervenus pour faire renouveler mon titre de séjour, poursuit-il. Au bout de neuf mois, je suis parti en vacances chez moi avec leur accord. A mon retour, ils m'ont dit que c'était terminé. Ordre de leur hiérarchie, sans plus d'explications. J'ai attendu puis je suis revenu vers eux en leur disant que j'allais prendre un avocat et que je n'en resterais pas là. Ils m'ont répondu que c'était mon droit mais que je savais ce qu'il fallait dire et ne pas dire…» Photos, captures d'écran, échanges de messages, noms, dates, téléphones, adresses… Doté d'une mémoire d'éléphant, Gabriel a les preuves de ce qu'il avance. Des documents et des informations que Libération a pu consulter et recouper auprès de différentes sources.

Dès le début, en juin 2014, les deux agents de la DGSI ne lui cachent pas leur appartenance au service de renseignement dirigé par Patrick Calvar. «Compte tenu de l'importance de ma première mission, ils ne pouvaient pas faire autrement, affirme le hackeur. Ils ont posé les règles : ne jamais parler à personne, faire uniquement ce qu'ils me disent, ne rien leur cacher de ma vie privée, toujours répondre quand ils me contactent sur le portable réservé à nos communications.»

Au préalable, ses «traitants» ont passé au crible toutes les informations le concernant : «Ils avaient récupéré mon dossier à la préfecture. Ils savaient beaucoup de choses sur moi, le nom de mes parents, mon niveau d'études, ma date d'arrivée en France, celle d'expiration de mon titre de séjour, l'adresse de mon domicile.» Pour sécuriser les informations transmises, Gabriel et ses traitants communiquent aussi via les brouillons d'une messagerie. «On aurait pu faire beaucoup mieux mais leur maîtrise de l'informatique était relativement limitée.»

Son travail consiste à pirater des adresses de messagerie, des comptes Facebook et Twitter de personnes soupçonnées par la DGSI d’être des jihadistes. A ce moment-là, ces derniers n’utilisaient pas encore systématiquement les messageries cryptées du type Telegram, beaucoup plus difficiles à pénétrer. Le hackeur doit identifier et localiser ceux qui se cachent derrière les «alias» utilisés. Faire le tri entre les candidats au départ et ceux déjà en Syrie. Pour y arriver, il doit établir le contact avec ses cibles afin de récupérer les adresses IP des ordinateurs et des mobiles qui permettront de les localiser. Certains se méfient, d’autres beaucoup moins.

La première étape consiste à créer de faux comptes Facebook et Twitter en endossant l'identité d'un candidat au départ pour le jihad. Homme ou femme. «J'avais plusieurs identités virtuelles. Ma connaissance de l'islam me servait. J'adaptais ma personnalité selon chacun de mes faux profils. Je devais penser comme eux, calquer mon discours sur le leur. Ici, j'étais un jeune homme voulant partir en Syrie ; là, une jeune femme soucieuse de faire la hijra en émigrant dans un pays musulman pour vivre pleinement sa religion. Je veillais à débloquer mes listes d'amis selon les dates d'ouverture de mes comptes. Je ne posais pas d'emblée de questions à mes contacts sur leur identité et le lieu où ils se trouvaient.»

Contrôle à distance

Prudent, le hackeur utilise des routeurs afin d'usurper de fausses adresses IP pour se connecter sur ses faux profils. Une fois le contact établi, il peut passer à l'étape suivante en fabriquant un virus lui permettant de capter les données des cibles visées. Utilisant toute la panoplie des techniques de hacking, il publie sur ces faux profils une vidéo jihadiste piégée dans laquelle il a camouflé son virus. «A chaque fois qu'ils cliquaient dessus, je prenais la main sur leurs machines.» A distance, le hackeur peut ouvrir les micros et les caméras des portables, pénétrer les messageries, pomper photos, vidéos et adresses IP de ses cibles. Il localise un serveur en Syrie utilisé par des jihadistes, des dizaines de candidats au départ, leurs soutiens en France chargés de récolter de l'argent et d'organiser leur acheminement. «Je transmettais mes mémos sur les brouillons de notre boîte mail. Je voyais aussi directement mes contacts à qui je devais expliquer précisément ce que je faisais de manière à ce qu'ils puissent rendre compte à leurs chefs.»

Au moment où Gabriel commence à travailler pour le renseignement intérieur, un flux permanent de jihadistes européens se dirige vers la Syrie. Devant l'ampleur du phénomène, la DGSI s'efforce de «contrôler» les départs. «Mes traitants étaient au taquet. Leur fatigue était perceptible», se souvient-il. En août 2014, ces derniers soupçonnent certains de leurs «objectifs prioritaires» d'utiliser les ordinateurs d'une médiathèque pour se connecter sur les réseaux jihadistes. «Ils voulaient savoir ce qu'ils fabriquaient. J'ai proposé de pirater le serveur pour siphonner toutes les données de la vingtaine d'ordinateurs ouverts au public. L'idée leur a plu. Après en avoir référé à leurs chefs, ils m'ont donné le feu vert.» Le hackeur fabrique un nouveau virus afin de rediriger toutes les connexions du serveur de la médiathèque vers un serveur fantôme installé sur son ordinateur. «J'ai mis mon virus sur une clé USB que j'ai proposé d'aller installer moi-même. Mes traitants ont refusé à cause des caméras de surveillance. Ils s'en sont chargés eux-mêmes. Deux clics sur la clé USB sur l'un des ordinateurs de la médiathèque et le piège était en place. Les antivirus n'ont rien détecté, les données ont afflué sur ma machine.» L'intuition de la DGSI était bonne. «Les cibles se connectaient à la médiathèque pour communiquer avec des "frères" en Syrie. Ces derniers leur donnaient les itinéraires et les contacts pour atteindre et passer la frontière syrienne. J'ai identifié des individus prêts à partir, d'autres en transit en Turquie.» Une semaine après, la DGSI mettra fin à l'opération après avoir effacé les traces de son intrusion.

«Images violentes»

En septembre 2014, c'est la panique à la DGSI. A la demande de ses traitants, Gabriel dépose un virus sur la messagerie réservée à leurs contacts. «Ils voulaient que je leur fasse une démonstration.» Sans précaution, un des traitants clique dessus depuis son poste de travail. «Le virus a infecté leur réseau en passant leurs antivirus. Ca a foutu un sacré bordel. Quand ils s'en sont rendu compte, ils m'ont mis en relation avec un informaticien de chez eux, à qui j'ai transmis le code source de mon virus. C'est la seule fois où j'ai parlé à quelqu'un qui comprenait ce que je faisais. Je pense que leur parano vis-à-vis de moi vient de là. Pourtant ce sont eux qui ont merdé.» Depuis que la DGSI l'a lâché, il «a pris ses distances», travaille sur des chantiers en attendant une hypothétique régularisation de sa situation administrative. Amer, il estime avoir été trahi et s'inquiète pour sa sécurité. Quand il est sur son ordinateur, tout lui revient : «Les missions, ses traitants, la profusion d'images violentes des sites jihadistes … Je n'ai pas fait tout ça uniquement pour avoir une carte d'identité. Ces jihadistes vont à l'encontre de l'islam.» Il veut toujours vivre en France. «Etre français, c'est être libre et responsable.» L'horaire de son train approche. Gabriel se lève, salue, disparaît dans la rue. Seul.

(1) Le prénom a été modifié.

Pour aller plus loin :

Dans la même rubrique

Les plus lus