Utilisation des données de traffic des bornes téléphoniques. – Le site du comité de soutien à l'affaire Lafarge

On a choisi de diviser en deux sujets l’utilisation de la téléphonie dans l’enquête. D’un côté , les keufs ont utilisé les données de téléphonie récoltées sur des antennes relais à proximité des faits, de l’autre, les condés ont étudié les données de téléphonie des lignes appartenant aux personnes qu’iels suspectaient, mais ça, ça fera l’objet d’un autre article.

Le cadre légal

Les réquisitions qui concernent les métadonnées (heures, destinataire, émetteur, type, etc…) d’échanges téléphoniques (comme les fadettes par exemple), mais pas le contenu du message ou de l’appel, sont autorisées par un procureur de la République ou juge d’instruction dans les enquêtes pour des crimes et délits punis de trois ans d’emprisonnement ou plus ou lorsque le délit a été commis par l’utilisation de la téléphonie et que ce délit est puni d’un an d’emprisonnement ou plus. Autrement dit, les métadonnées des échanges téléphoniques peuvent être réquisitionnées dans tout un tas d’enquêtes. Les fadettes sont enregistrées par les opérateurs téléphoniques pour un an maximum. [2]

Dès le 17 décembre, 7 jours après l’action contre l’usine Lafarge, des gendarmes vont aux différents endroits où des dégradations ont eu lieu, où des objets que les keufs pensent liés à l’action ont été retrouvés, et aux endroits où les keufs pensent avoir vu passer des activistes avant l’action, soit 7 endroits au total. Ils mesurent sur quelles antennes relais les opérateurs historiques (orange, bouygues, sfr, free) sont les mieux reçues [2]. Iels récupèrent ensuite l’entièreté du trafic passé sur ces antennes entre 12h et 20h le 10 décembre.

Ces antennes relais couvrant la zone des faits couvrent aussi la zone commerciale de Plan-de-Campagne, la plus grande zone commerciale d’Europe, 2 semaines avant Noël, les données ne sont donc pas exploitables telles quelles car en trop grande quantité. En général, le nombre de lignes téléphoniques qui activent une antenne relais, même dans un court délai, deviant vite important, les policier.es ne peuvent probablement jamais les utiliser telles quelles. Les keufs ne peuvent pas aller vérifier, pour chaque ligne présente sur les lieux, si la personne pourrait être suspecte. Il leur faut d’autres éléments pour réduire le nombre de lignes téléphoniques sur lesquelles enquêter.

1ère confrontation : les militant.es proches de la ZAP de Pertuis

Les gendarmes, en collaboration avec les « services partenaires » [derrière cette expression se cachent souvent les renseignements territoriaux, les services de renseignement de la préfecture de police de Paris (DRPP) parfois la direction générale de la sécurité intérieure (DGSI)], dressent une liste de numéros ayant fréquenté la ZAP de Pertuis, car iels considèrent que l’action a forcément obtenu du soutien du tissu militant local. Cette liste comprend notamment des identités de personnes régulièrement contrôlées sur place, identités rattachées aux voitures vues ou contrôlées sur place. C’est cette liste qui va permettre aux keufs de réduire le nombre de lignes téléphoniques sur lesquelles iels vont enquêter. Les gendarmes vont chercher si les lignes contenues dans cette liste apparaîssent dans la liste des lignes ayant borné à proximité des faits le 10/12 entre 12h et 20h.

3 lignes téléphoniques présentes sur cette liste étaient sous relais près de l’usine Lafarge l’après-midi de l’action. Les keufs étudient avec quelles lignes téléphoniques ces 3 lignes échangent lorsqu’elles sont sous relais. Les keufs demandent ensuite les fadettes sur 1 an de ces 3 lignes et précisent leur étude de la téléphonie pour l’après-midi du 10 décembre : une des lignes semble par exemple être sous relais, mais être sur l’autoroute, et donc simplement traverser la zone. Les keufs vérifient alors si le temps du trajet est conforme à ce que leur indique google maps : en l’occurence, le trajet est deux fois trop long, mais en même temps les gendarmes soulignent que y’avait des bouchons le 10 décembre. Les keufs en profitent aussi pour voir si certaines des lignes téléphoniques présentes sur leurs fadettes (c’est-à-dire l’entiereté des lignes avec lesquelles ces personnes ont communiqué au cours de l’année passée) étaient sous relais près de l’usine Lafarge le 10 décembre. De ce qu’on comprend, ces premières investigations téléphoniques n’auront finalement mené à l’interpellation de personne.

Les fadettes

Précisons un peu ce qui se cache concrètement derrière les « fadettes ». Les fadettes (pour facture détaillée) listent les échanges téléphoniques (appels, sms, mms) d’une ligne, et regroupent leurs métadonnée. Les « données » d’un sms ou d’un appel sont leur contenu. Les fadettes sont les métadonnées de ces appels ou sms, telles que l’heure et la durée de la comunication en question, le destinataire ou l’émetteur de la communication en question, et la borne téléphonique sous laquelle se trouvait la ligne téléphonique de la fadette. Les fadettes ne contiennent pas le contenu des communications téléphoniques, mais seulement les métadonnées des sms entrant et sortants, mms entrants et sortants, appels entrants et sortants, et paquets data (les données mobiles/données cellulaires). Les keufs demandent les fadettes sur une période de 20 jours minimum, et peuvent demander les fadettes d’une ligne sur les 12 derniers mois, les opérateurs téléphoniques ne pouvant théoriquement les conserver plus d’un an.

Si les fadettes désignent à la base la liste des communications d’une ligne téléphonique, elles désignent aussi, dans la bouche des keufs, la liste des communications téléphoniques passées par une antenne relais, que les policier.es peuvent réquisitionner par périodes de 4h dans les 12 derniers mois.

Ça donne aux keufs un immense tableau comme ça :

Légende : Type : sms = sms, voix = appel, dat = paquet data, Sens : S = sortant, émis par la ligne étudiée, E = entrant, reçu par la ligne étudiée, Relais = identifiant technique hexadécimal du relais,
Notes : Les paquets data sont toujours « sortants ». On ne sait pas précisément comment l’opérateur décide de diviser les paquets entre eux. Ils n’ont pas de correspondant. Les « infos correspondants » sont facultatives, elles ne figurent que si lea keuf a fait une réquisition spécifique, et peuvent aussi contenir l’adresse déclarée du correspondant.

Les évènements réseaux

Un téléphone, même quand il n’émet ni ne reçoit de communication téléphonique (SMS, MMS, appels, données mobiles), échange très régulièrement des informations avec les antennes relais à proximité, notamment pour que le réseau sache où envoyer les éventuelles communications que le téléphone pourra recevoir (ces échanges d’informations permettent par exemple au téléphone d’afficher un niveau de réseau, qui s’affiche en haut à droite ou à gauche de l’écran). Ces données ne sont pas des « communications téléphoniques » à proprement parler, elles n’aparaissent donc pas sur les fadettes, et les opérateurs les appellent « évènements réseaux » [2]. Les condés peuvent les réquisitionner au même titre que pour les fadettes. Notons que Free ne les donne pas aux keufs probablement parce qu’il n’enregistre pas ces « évènements réseaux ». Chaque ligne du tableau des fadettes peut être séparée facilement d’une dizaine de minutes (il suffit que les données mobiles soient désactivées ou même que l’activité internet soit relativement faible), ce qui ne permet pas aux keufs de localiser très précisément la ligne. L’avantage des évènements réseaux est donc qu’ils ont lieu très régulièrement (en moyenne toutes les 25 secondes (valeurs prises un peu au pif, on a juste pris un exemple de listing d’évènements réseaux et fait une moyenne), permettant un suivi plus précis des déplacements d’une personne. Pour donner un exemple, un extrait des évènements réseaux d’une ligne téléphonique, ça donne ça :

Légende : ben moi perso j’ai pas tout compris.

Saint-Étienne : 2e confrontation de données de téléphonie

Fin janvier, les gendarmes de la section de recherche de Marseille sont informé.es par les gendarmes de la section de recherche de Lyon qu’une réunion entre plusieurs membres des Soulèvements de la Terre a eu lieu à Saint-Etienne le week-end précédant le désarmement de l’usine Lafarge. Iels ont eu cette info car iels avaient placé sur écoute des militant.es qui ont eu une conversation, en clair, sur l’hébergement de membres des Soulèvements. Les gendarmes de Marseille partent immédiatement du principe que cette réunion est liée à l’invasion sabotage. Iels ajoutent donc aux 7 zones des faits dont on parlait plus haut, une huitième zone : celle de la réunion, à Saint-Étienne. Les keufs demandent donc à la police judiciaire de Lyon d’aller procéder à des relevés téléphoniques afin d’identifier les relais les mieux reçus autour du lieu de la réunion, avant de réquisitionner le trafic passé par ces antennes au moment de la réunion.

Les policier.es confrontent le trafic téléphonique passé par les antennes relais couvrant Saint-Etienne et les évènements réseaux récoltés autour du site Lafarge. Les keufs trouvent une quarantaine de lignes présentes à la fois à Saint-Étienne le week-end du 2 décembre et près du site Lafarge l’après-midi du 10 décembre. L’analyse n’ira a priori pas plus loin.

Les Deux-Sèvres : 3e confrontation de données de téléphonie

Plus tard dans l’enquête, en février, les keufs surveillent une personne qu’iels soupçonnent, et se rendent compte que cette personne va assister à une réunion dans un village des Deux-Sèvres. Ils demandent donc aux services techniques de la police judiciaire de Limoges d’aller procéder à des relevés téléphoniques dans ce bled, et réquisitionnent le trafic passé par les antennes couvrant ce bled à la date de la réunion. Ils croisent ces données avec celles récupérées à proximité du site Lafarge, et ne trouvent aucune correspondance. Aucune ligne commune aux données de téléphonie de ce bled avec celles de Saint-Étienne non plus.

Mais les keufs vont aussi comparer le trafic téléphonique de ce bled avec l’entièreté des données de téléphonie récoltées au cours de l’enquête, c’est-à-dire chercher si des lignes qui sont en contact téléphonique avec les personnes dont les keufs ont demandé les fadettes au cours de l’enquête sont présentes dans ce bled. Et c’est le cas pour une vingtaine de lignes. Les investigations n’iront a priori pas plus loin.

Autres confrontations

Au cours de la procédure les condés vont, pour plusieurs lignes téléphoniques de personnes suspectées, chercher si certaines des lignes téléphoniques qui apparaissent dans leur fadettes (c’est-à-dire les lignes téléphoniques avec lesquelles celles-ci ont été en contact au cours de l’année écoulée) étaient présentes sous relais près de l’usine Lafarge. Ces investigations ont permis aux keufs d’ajouter des suspect.es à leur liste de suspect.es, et deux personnes au moins ont étés arrêtées car elles étaient des contacts de lignes téléphoniques déjà suspectées et qu’elles bornaient près de l’usine Lafarge le 10 décembre.

[1] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000045289397/2022-03-04

[2] Dans le système de téléphonie en france, il n’y a que 4 opérateurs, les opérateurs dits techniques ou historiques qui disposent d’infrastructures techniques pour permettre les communications. Les autres opérateurs (Sosh, Lycamobile, Lebara), se contentent de louer le réseau de ces 4 opérateurs.