Encryptiediensten, het overzicht: EncroChat (#2)

Encryptiediensten, het overzicht: EncroChat (#2)

Ennetcom, PGPSafe, EncroChat en Sky-ECC. Door alle nieuws over deze encryptiediensten voor berichtenverkeer zijn ze voor een leek moeilijk uit elkaar te houden. En het is al helemaal ingewikkeld om te begrijpen welke juridische problemen rechters voorgeschoteld krijgen in zaken waarin met ontsleutelde chats van deze diensten als bewijs dienen. Crimesite zet in drie overzichtsartikelen op een rij wat de verschillen zijn tussen de diensten en welke belangrijke juridische kwesties er de komende jaren nog over zullen gaan spelen. Deel 2 gaat over de hack op EncroChat (deel 1 ging over Ennetcom en PGPSafe, deel 3 zal gaan over Sky-ECC).

Door @Wim van de Pol

Gecodeerde berichten die door de politie leesbaar zijn gemaakt spelen nu, en in het verleden, een grote rol in belangrijke strafzaken. Er zijn inmiddels vele tientallen mensen verdacht of veroordeeld op grond van leesbaar gemaakte pgp-chats die justitie of de rechter aan hen toeschrijft, en er zullen nog vele volgen in de nabije toekomst. De discussie over wat de recherche wel of niet is toegestaan bij het leesbaar maken van privéberichten speelt zich vooral in rechtszaken af.

Privacy

Toch is de discussie breder en gaat ook mensen aan die vinden dat ze “niks te verbergen hebben”, of zeggen dat ze nooit iets crimineels zullen doen. Want criminelen gebruiken ook iChat (Apple), WhatsApp, Telegram, ProtonMail of Signal. Daarmee verstuur je ook berichten die derden, dus ook inlichtingen- en politiediensten, in principe niet kunnen kraken, tenminste, als er geen (fysieke) toegang is tot het apparaat. De minister van Justitie en Veiligheid heeft onlangs nog onderstreept dat de politie ook dat soort diensten graag zou willen kunnen binnendringen. Hetzelfde geldt voor de inlichtingendiensten. Nu het leven van mensen voor een belangrijk deel digitaal verloopt op telefoons en computers, en hun gegevens massaal verzameld en gekoppeld worden door bedrijven en overheidsdiensten is privacy daarmee voor iedereen een actuele kwestie.

Justitie vindt dat alle gebruikers van EncroChat crimineel waren en dat daarom berichten, en alle andere (lokatie)gegevens van alle gebruikers mochten worden onderzocht door de recherche. Waarom zouden de recherche of de inlichtingendiensten dat niet met (bijvoorbeeld) alle WhatsApp-gebruikers kunnen doen?

Dit zijn de feiten rond EncroChat:

Vanaf 2017 doet de Nederlandse politie onderzoek naar EncroChat-telefoons. EncroChat leverde tegen veel geld Android-telefoons die voorzien waren van encryptie. Er waren wereldwijd zo’n 50.000 gebruikers, waarvan 12.000 in Nederland. Het onderzoek leidt naar de Franse plaats Roubaix waar bij hostingbedrijf OVH de servers van EncroChat staan. Er volgt een hack door IT-specialisten en van 1 april tot 26 juni 2020 worden alle berichten die alle gebruikers van een Encro-telefoon ontvangen door de politie opgeslagen. Het Openbaar Ministerie laat in september van 2020 weten dat er sprake was van een Frans onderzoek waarbij een Frans militair staatsgeheim werd ingezet. Gaandeweg lekten er echter verschillende stukken over de hack uit (met name uit Britse stafdossiers, waarover het Openbaar Ministerie bij de Britten zijn beklag deed). Inmiddels staat vast dat alleen de wijze van de installatie van het gebruikte technische hulpmiddel in Roubaix een militair staatsgeheim is. De werking van de hack waarmee de politie de berichten kon lezen is geen staatsgeheim. Het is helder beschreven in documenten die Britse rechtbanken hebben gekregen. Het ging als volgt.

Op de server van Encro werd heimelijk software geinstalleerd (implant 1) die op 1 april 2020 een update stuurde, en is binnengedrongen in alle Encro-telefoons die in de wereld actief waren. Direct daarop werd op 1 april een data capture device (implant 2) op alle telefoons geplaatst. Die software stuurde vanaf 1 april tot en met 26 juni 2020 kopieën van alle in de telefoons opgeslagen data naar de Encro-server in Frankrijk, waar het werd afgevangen door de politie. De politie registreerde zo alle berichten (chats), notities, plaatjes, en onder meer locatiegegegevens. Tijdens de zogenoemde “live-fase” van april tot juni werden de telefoons dus niet live afgeluisterd. Evenmin werd de end-to-end encryptie van EncroChat gekraakt door de politie. De encryptie werd omzeild. Dat was mogelijk doordat de hack-software periodiek alle chats en alle andere data die op de telefoons aanwezig was verzond naar een server die onder controle van de politie stond. Wel registreerde de politie “live” op welke plek in de wereld alle Encro-telefoons zich bevonden, welke zendmast ze gebruikten en eventueel welk wifi-acces point.

Op 26 juni 2020 werd het EncroChat-netwerk platgelegd en begon er (vooral in Europese landen) een golf aan arrestaties.

Openbaar Ministerie zwijgt

Advocaten in tientallen rechtszaken willen weten hoe de hack van EncroChat is uitgevoerd. Ze vinden dat de rechtbank de rechtmatigheid van de operatie moet kunnen toetsen en ook de betrouwbaarheid van de data. Het Encro-bewijs wordt immers gebruikt voor zware veroordelingen, geregeld zelfs tot levenslange straf. Het Openbaar Ministerie wil er echter nog steeds nauwelijks iets over kwijt. Enerzijds is er het Franse staatsgeheim en verder wijst het Openbaar Ministerie erop dat voor een Frans onderzoek het Europese vertrouwensbeginsel geldt: de rechter in Nederland kan erop vertrouwen dat het onderzoek rechtmatig is geweest en betrouwbare informatie heeft opgeleverd. Bovendien staat het Encro-onderzoek waarin de chats zijn gekraakt helemaal los van andere strafrechtelijke onderzoeken waarin de chats worden toegepast, aldus het Openbaar Ministerie.

Over een verhoor van de anonieme officier van justitie die het onderzoek 26Lemont naar EncroChat heeft geleid is al anderhalf jaar lang gedoe, omdat niet alle vragen gesteld kunnen worden, en is nog altijd niet voltooid.

De belangrijkste kwesties

Er zijn op basis van het EncroChat-bewijs al heel wat mensen veroordeeld door rechtbanken, onder meer Roger “Piet Costa” P., voor grootschalige cocaïnehandel. Maar er zijn ook nog vele rechtszaken aan de gang waarin de Encro-chats ter discussie staan. In een Haagse cocaïne-zaak, over grootschalige smokkel naar Engeland, vroegen advocaten Michel van Stratum en Esther Blok eerder deze maand aan de rechtbank om het Openbaar Ministerie niet-ontvankelijk verklaren, of zo niet, dan de Encro-chats van het bewijs uit te sluiten.

In vele andere grote zaken brengen advocaten, zoals Ruud van Boom en Justus Reisinger, voortdurend vergelijkbare argumenten tegen Encro-bewijs in stelling. Dit zijn de voornaamste juridische problemen die spelen rond EncroChat:

Hieronder een tiental heikele kwesties die nu of in de komende jaren bij rechtbanken, in hoger beroep en in Europese rechtspraak over EncroChat zullen gaan spelen:

  1. Het Openbaar Ministerie stelt dat het onderzoek naar EncroChat helemaal los staat van andere strafrechtelijke onderzoeken waarin de chats worden toegepast. Eventuele fouten in het onderzoek naar EncroChat kunnen daarom geen gevolgen kunnen hebben voor verdachten in andere zaken omdat het ander onderzoek is. Dat is een vraag waar rechters over van mening verschillen. Zowel de Hoge Raad als andere rechters hebben inmiddels geoordeeld dat indien er een ‘bepalende’ fout is gemaakt dit wel degelijk gevolgen kan hebben voor een ander onderzoek.

  2. Omdat inmiddels uit Franse rechterlijke documenten blijkt dat alleen de wijze van installatie van de software op de Encro-servers staatsgeheim is kan het Openbaar Ministerie zich niet meer alleen daarop beroepen. Uit Britse documenten met daarin verklaringen van Franse en Britse agenten valt veel informatie te lezen over de hack. Rechters zouden kunnen besluiten dat het Openbaar Ministerie toch ook de beschikbare processen-verbaal over de Nederlandse bijdrage aan de hack op tafel moet leggen.

  3. In verband daarmee staat het argument van het vertrouwensbeginsel. Door het vertrouwensbeginsel meent het Openbaar Ministerie dat er geen informatie over de gang van zaken rond de hack hoeft te worden gegeven omdat de Franse politie het onderzoek heeft gedaan. Probleem is alleen dat er nu vele aanwijzingen zijn (uit Britse en Franse documenten) dat juist Nederlandse specialisten een sleutelrol hebben gespeeld bij de Encro-hack in Frankrijk. Het Europese Hof vindt (zo blijkt uit een uitspraak)  dat een land (Nederland) mede verantwoordelijk kan zijn als de (Nederlandse) politie betrokken is bij onderzoekshandelingen in het buitenland. Zeker als dat onderzoek effecten heeft gehad in Nederland. En dat laatste is het geval: vanuit Frankrijk zijn immers in Encro-telefoons in Nederland gepenetreerd.

  4. Net als bij Ennetcom en PGPSafe stellen advocaten dat door het in beslag nemen van de communicatiegegevens van álle gebruikers van EncroChat verschillende richtlijnen en wetten met betrekking tot de privacy zijn geschonden. Er zijn “bulkdata” in beslag genomen en daarover is zeer stevige Europese jurisprudentie: het mag niet. Communicatie mag de politie pas afluisteren of opslaan bij mensen die verdachte zijn. Er zijn zeer sterke aanwijzingen dat artikel 8 van het Europees Verdrag voor de Rechten van de Mens geschonden is door ongerechtvaardigde vergaring van bulk-data van personen. Zelfs als de hack enkel in Frankrijk zou zijn ingezet dan moet in Nederland aan het EVRM worden getoetst. Advocaten Van Boom en Reisinger stellen daarom dus dat het vertrouwensbeginsel niet van toepassing kan zijn.

  5. De advocaten wijzen er ook op dat de hack door het binnendringen van telefoons van gebruikers in Nederland (ook) op Nederlands grondgebied heeft plaatsgevonden. Ook daarom moet het aan Nederlands recht voldoen en ook daaraan kunnen worden getoetst.

  6. Het binnendringen van telefoons in Nederland lijkt bovendien alleen al onrechtmatig omdat het binnendringen in principe een strafbaar feit is, namelijk  computervredebreuk. Dat strafbare feit is dan gepleegd met medeweten van het Nederlandse Openbaar Ministerie.

  7. Datzelfde Openbaar Ministerie heeft in een toelichting over de Encro-hack aan rechtbanken laten weten dat er bij de operatie juist géén gebruik is gemaakt van de “hackbevoegdheid” uit het Wetboek van strafvordering (het binnendringen van systemen). En dat binnendringen is dus juist wél gebeurd.

  8. Volgens de wettelijke regels had Frankrijk in de “live-fase” (vanaf 1 april 2020) formeel aan Nederland moeten laten weten dat dat telefoons in Nederland vanuit Frankrijk live werden uitgepeild. Dit staat in het Europese verdrag over Cybercrime, en in Europese richtlijnen.

  9. Justitie zegt dat alle chats van Encro-gebruikers zijn verzameld bij Europol in Den Haag. Maar advocaten stellen dat het niet te controleren is of inderdaad in de strafdossiers alle berichten compleet zijn. Want er is geen toezicht of toets geweest op de verkrijging van de data en ook niet op de verwerking en de zoekslagen die de recherche erin heeft gemaakt. In Engeland is vast komen te staan dat een deel van de Encro-communicatie ontbreekt en ook in Nederlandse onderzoeken blijkt, bijvoorbeeld na onderzoek van het NFI, dat de data verre van volledig is.

  10. Al met al vinden advocaten dat verdachten geen recht hebben op een eerlijk proces zoals dat in de Nederlandse Grondwet en in de Europese grondrechten van de mens staat beschreven. De betrouwbaarheid en evenmin de rechtmatigheid van het bewijs dat door EncroChat berichten is aangevoerd kan niet door rechters worden getoetst. Een groep bezorgde Europese advocaten heeft een “letter of concern” geschreven aan het Europees Parlement en de Europese Commissie.

Waarom niet toetsen?

Er zijn al vele verdachten veroordeeld op grond van de Ennetcom- en PGPSafe-berichten, en dat zal in de komende grote processen, zoals tegen de verdachten van de moord op Peter R. de Vries en Ridouan Taghi en zijn medeverdachten naar alle waarschijnlijkheid ook gebeuren. De rechters zullen bovenstaande bezwaren van advocaten voorlopig terzijde schuiven.

Maar hogere (Europese) rechters zullen er toch niet aan ontkomen deze belangrijke kwesties nauwkeurig te beschouwen. Ook al omdat in verschillende landen officieren van justitie tegenstrijdige dingen over de hackoperatie op EncroChat. Ze doen beweringen die niet allebei waar kunnen zijn. Advocaat Justus Reisinger: ‘Stel nu dat de hack juridisch  helemaal correct is verlopen. Dan rijst toch de vraag waarom het verdachten niet wordt gegund om de methodes te kunnen toetsen.’

Mochten hogere (Europese) rechters toch zaken afwijzen dan is het nog altijd de vraag of strafzaken over (bijvoorbeeld liquidaties) alsnog zullen sneuvelen of dat veroordeelden op vrije voeten komen.

“Gewone” Europese burgers

Maar het oordeel van die rechters over deze punten is in ieder geval wel van groot belang van voor de “gewone” Europese burger die niets crimineels uitvoert. Want die uitspraken van rechters zullen van grote invloed zijn op de mate waarin de politie- en inlichtingendiensten in de toekomst beslag zullen kunnen leggen op vrijheden en privacy van alle Nederlandse burgers die voortdurend communiceren met hun mobiele telefoon en hun computer, en overal waar ze komen worden geregistreerd door camera’s of computersystemen.

Zie meer:

Het overzicht: Ennetcom en PGPSafe (#1)

Het overzicht: EncroChat (#2)

Encryptiediensten, het overzicht: Sky-ECC (#3)