EncroChat: de reconstructie van de hack (UPDATE)

EncroChat: de reconstructie van de hack (UPDATE)

Om alle chats van alle gebruikers van communicatiesysteem EncroChat een paar maanden lang te kunnen meelezen heeft de Franse Gendarmerie vorig jaar één van de grootste hostingproviders van Europa bijna een uur platgelegd om daarin malware te kunnen installeren. Dat blijkt uit stukken van opsporingsonderzoeken in het Verenigd Koninkrijk, Frankrijk en Nederland die Crimesite heeft ingezien.

Door @Wim van de Pol

De inbraak van de politie in het gecodeerde chatsysteem EncroChat was een unieke klap van de internationale opsporing tegen criminelen die zich onbespied waanden in hun onderlinge communicatie. Het heeft geleid tot een lawine aan grote strafzaken.

Maar: hoe kon die hack gebeuren? En hoe ver zijn politie en justitie gegaan in het afluisteren van alle gebruikers van een openbaar communicatiesysteem?

Ennetcom en PGPSafe

Nadat met pgp-versleutelde chats van gebruikers op servers van Ennetcom in 2016 en van PGPSafe in 2017 in handen van de politie kwamen bleek uit onderzoeken van de recherche dat verdachten van liquidaties en drugshandel ook gebruik maakten van EncroChat-telefoons. Het Nederlands Forensisch Instituut (NFI) wist enkele Encro-telefoons binnen te komen, maar dat leidde niet tot toegang tot het gehele netwerk

Net als in Ennetcom konden Encro-gebruikers onderling met een speciale telefoon end-to-end versleutelde app-gesprekken voeren via een eigen server. De Encro-telefoons hadden een gewoon IMEI-nummer (het ID-nummer van een telefoon) en een SIM-kaart waarmee ze via de netwerken van telefoonproviders verbonden waren. Het was voor de recherche mogelijk om vast te stellen dat het verkeer EncroChat via een server in Frankrijk verliep.

Het was een server in Roubaix, van cloud- en hostingprovider OVH.

Franse politie

De Nederlandse politie wilde toegang tot Encro-telefoons van criminelen (en nam op de koop toe dat er ook mensen uit hun directe omgeving werden meegenomen). Om dat voor elkaar te krijgen kregen EncroChat (en de personen erachter) de verdenking een criminele organisatie te zijn die criminelen onderling liet communiceren en zich zo schuldig maakte aan witwassen van crimineel geld.

Om in Frankrijk onderzoek te kunnen doen moest er worden samengewerkt met de Franse politie.

In Europa kunnen politieteams van landen samenwerken aan hetzelfde onderzoek, in een zogenoemd Joint Investigation Team (JIT). Frankrijk en Nederland gingen samenwerken in een JIT. De Britse National Crime Agency sloot zich aan maar maakte geen deel uit van het JIT.

Er zijn dan al hoogstwaarschijnlijk buiten de JIT-samenwerking op hoger niveau verdere plannen tussen de landen gemaakt, en ook een strategie, maar daarvan zijn nog geen stukken bekend. (tekst gaat verder onder reclame)

Kopie van server

Voordat eind februari 2020 het contract van het JIT gesloten werd had de Franse politie al uit zichzelf in een eigen onderzoek naar EncroChat informatie over Encrochat-gebruikers in Frankrijk verzameld. Zo werd er in januari 2019, en ook in oktober 2019, in het diepste geheim een kopie gemaakt van de Encro-server in Roubaix. Daarvoor was een machtiging van de Franse rechter beschikbaar waardoor OVH de deuren moest openen.

Uit aantekeningen die een betrokken Britse ambtenaar maakte tijdens een Europol-overleg van 19 tot 21 februari 2020 in Den Haag blijkt nu dat de Franse politie door die kopie van de server de volgende informatie over Encro-gebruikers kreeg: ‘IP-adressen, e-mailadressen, notes en user names’. In een proces-verbaal van het Nederlandse Openbaar Ministerie staan nog veel meer technische data over de gebruikers vermeld.

Ook kreeg de politie IMEI-nummers en SIM-nummers uit het netwerk. En verder werd bekend dat er zich in 2019 17.000 Encro-gebruikers op een Frans netwerk hebben bevonden. Ook kon de politie zien dat er in het Verenigd Koninkrijk ongeveer 9.000 gebruikers waren. In totaal zijn er van ongeveer 39.000 telefoons data ontvangen. Justitie gaat ervan uit dat alle gebruikers criminelen zijn, rechtstreeks bewijs daarvoor is er niet.

Het gaat hier overigens over bijzondere persoonsgegevens die volgens de Nederlandse wet niet zomaar mogen worden verzameld of gebruikt. De rechter zal zich hierover later moeten uitspreken.

Speciale operatie

Met de bedoeling om in Nederland nader onderzoek te doen naar de resultaten die uit het JIT-team zullen komen is in Nederland door het landelijk parket in januari 2020 het onderzoek 26Lemont gestart tegen EncroChat en de mensen erachter. Binnen dit onderzoek ligt dan ook informatie over een reeks verdenkingen tegen criminele organisaties waarvan vast is komen te staan dat ze Encro-telefoons gebruiken.

Uit e-mails en aantekeningen van ambtenaren van de Britse National Crime Agency en van Franse cyber-rechercheurs van een eenheid uit Pontoise (bij Parijs) blijkt dat er januari 2020 in Frankrijk wordt toegewerkt naar een speciale operatie tegen EncroChat. Deze stukken zijn gevoegd in een rechtszaak in Engeland. De Fransen, de Nederlanders en de Britten spreken af om elkaar op 19 februari 2020 te ontmoeten bij Europol in Den Haag. Daar zullen de details van deze operatie duidelijk moeten worden.

“Een middel”

Intussen gaan de Fransen in Frankrijk verder met de volgende stap.

Op 3 februari 2020 vordert de teamleider van de afdeling computercriminaliteit van de Gendarmerie in Pontoise de inzet van een middel waarmee vertrouwelijke communicatie kan worden opgenomen. Deze inzet is goedgekeurd door de Franse binnenlandse veiligheidsdienst (DGSI). Het middel is geheim, omdat het valt onder de ‘militaire staatsgeheimen’. Een rechter geeft toestemming voor deze inzet.

Het middel zal worden ingezet op een server die staat in het immense datacenter van OVH in Roubaix.

D-day

Hostingprovider OVH is wat betreft servercapaciteit mogelijk de derde provider van de wereld en ook eigenaar van het grootste datacenter op aarde, dat staat bij Montreal, Canada.

De Franse operatie is minutieus voorbereid. We weten er iets van omdat een Franse rechercheur op 29 januari 2020 per e-mail aan een medewerker van de NCA in Londen uitlegde hoe het plan werkt. In de eerste week van februari zal gedurende één dag bij OVH voor de derde keer een kopie (image) worden gemaakt van de EncroChat-server.

Dat image is op een andere server gezet. Het middel is ook op die server geïnstalleerd. Een Franse rechercheur verwijst in e-mailcorrespondentie met Britse collega’s naar het middel als ‘rogue software’. Vervolgens werd in gereconstrueerde omstandigheden bekeken of de software naar bevrediging werkte. Als het werkt zijn de Fransen zijn klaar voor wat ze noemen ‘D-day’.

‘Official sensitive’

Op 19 februari 2020 komen in het uiterste geheim vertegenwoordigers uit verschillende landen bijéén op het Europol-hoofdkantoor in Den Haag. Daarbij zijn in ieder geval de Franse rechercheurs, en hun Britse en Nederlandse counterparts. Ook geeft een Nederlandse officier van justitie daar ‘een update’, waarvan een NCA-medewerker aantekeningen maakt op een blocnote met de aanduiding ‘official sensitive’. Ook dat stuk moest op gezag van een Britse rechter worden gevoegd in een strafzaak.

Op die vergadering krijgen de betrokkenen tactische instructies. De betrokken landen moeten ieder een eigen onderzoek naar Encro hebben lopen. De beraadslagingen over de totstandkoming van de hack moeten geheim blijven:

no mention of previous discussion between countries.

Zo noteerde een Britse ambtenaar, die bij het overleg was. Ook blijkt er tussen de landen sprake te zijn van ‘off record side meetings discussing the encro hierarchy, targetting and operational response.

Er is dus geheim overleg tussen de drie landen geweest dat expres buiten de stukken van strafzaken als 26Lemont wordt gehouden, en buiten het zicht van rechters. Een goed ingevoerde bron zegt tegen Crimesite dat er ook ambtenaren van inlichtingendiensten rechtstreeks bij de operatie betrokken zijn geweest. Samenwerking tussen opsporing en inlichtingendienst is in het strafproces aan zeer strikte regels gebonden.

Down

Vanaf 30 maart gaat de operatie in Roubaix van start. Franse cyber-rechercheurs en technici zijn aanwezig in als de knop omgaat.

In de namiddag van 30 maart gaat een deel van de servers van OVH 40 minuten down, ergens tussen 17.00 en 19.00. Het lijkt erop dat alleen (reguliere) klanten in Frankrijk er last van hebben gehad. De storing blijft niet onopgemerkt en wordt wereldwijd besproken door deskundigen. Achteraf geeft OVH als oorzaak dat de storing werd veroorzaakt door een ‘malfunction in one of the connection cards of a backbone router’. Het bedrijf kon overigens volgens de Franse wet niet naar buiten brengen wat de ware oorzaak was, door een geheimhoudingsplicht.

In werkelijkheid werd in die 40 minuten de ‘rogue software’ geïnstalleerd. Die maakte het mogelijk alle chats van alle gebruikers van EncroChat op te slaan. Op 1 april 17.15 is die datastream aangezet, tot en met 26 juni omstreeks 17.00. Met als gevolg dat de politiediensten van de betrokken landen een EncroChat-dataset in handen kregen van vele honderdduizenden gesprekken.

In Nederland kon daarin met instemming van een rechter-commissaris op bepaalde namen en met bepaalde zoekwoorden worden gezocht. Die gesprekken zijn nu cruciaal bewijs in de allergrootste strafzaken.

‘Intel’

Ook in het Verenigd Koninkrijk zijn de Encro-chats gebruikt. Maar daar mogen de gesprekken zelf niet worden ingezet als bewijs omdat ‘live interceptie’ volgens de Britse wet niet is toegestaan. Uit e-mail correspondentie die Crimesite heeft ingezien blijkt dat de Britse politie hierover tegen de Franse collega’s zegt dat de chats daarom als ‘intel’, dus als inlichtingen zullen worden gebruikt in de strafrechtelijke onderzoeken. Er lopen nu verschillende Britse rechtszaken over de Encro-chats.

Ook in Nederland liggen deze chats nu ter beoordeling aan rechters, zoals in de grote zaak tegen Roger “Piet Costa” P. en medeverdachten. En in de zaak over de martelcontainers. En ook in een megazaak waarin corruptie in de Rotterdamse haven een rol speelt.

Gewone Nederlandse gebruiker

Vaststaat dat er Nederlandse geheimhouders (bijvoorbeeld advocaten) gebruik hebben gemaakt van Encro-telefoons. De recherche heeft deze chats eerst gelezen en daarna ‘ontoegankelijk gemaakt’, zo blijkt uit de stukken. Vaststaat ook dat er vele gebruikers zijn afgeluisterd die niet verdacht waren en/of mensen die geheel niet crimineel zijn.

Uiteindelijk zullen rechters ook moeten toekomen aan de hamvraag of de hack en de verwerking van de data legitiem was en in overeenstemming met de Europese grondrechten, zoals die op privacy.

Voor de gewone Nederlandse gebruiker van smart phones en computers is er een andere hamvraag.

Mag de politie ook zomaar inbreken in systemen als WhatsApp, of zeer goed beveiligde systemen als Telegram, Proton of Signal, die in overgrote mate door niet-criminelen worden gebruikt (en natuurlijk ook door criminelen)? Andere vraag: mag de politie eigenlijk wel zomaar in het geheim communicatie van niet verdachte gebruikers onderscheppen en lezen?