Rechtbanken hoorden lang niet alles over EncroChat-hack (UPDATE)

Rechtbanken hoorden lang niet alles over EncroChat-hack (UPDATE)

Het landelijk parket heeft aan de Nederlandse rechtbanken op zijn zachtst gezegd onvolledige informatie gegeven over de totstandkoming van de hack op de EncroChat-servers. Dat blijkt uit nieuwe informatie die naar boven is gekomen uit stukken uit Britse strafdossiers. Die duidt erop dat juist Nederland een regisserende rol had bij de hack – in Frankrijk – van de communicatie van EncroChat. En dat terwijl het Openbaar Ministerie zegt plotseling vorig jaar door Frankrijk op de hoogte te zijn gebracht van de hack.

Door @Wim van de Pol

Met name informatie uit Britse rechtszaken werpt een heel ander licht op de totstandkoming van de hack van de EncroChat-servers. Crimesite publiceerde al eerder uit onder meer gespreksverslagen van de Britse National Crime Agency (NCA) over de samenwerking van Frankrijk, Nederland en Groot-Brittannië in het EncroChat-onderzoek.

In een grote Limburgse drugszaak is advocaat Bas Janssen met meer informatie gekomen. Hij heeft recent voor de rechtbank op een rij gezet waarom het relaas van het OM zijns inziens niet kan kloppen.

Even terug naar het begin.

Meekijken

De Franse politie installeerde vorig jaar malware op alle Encro-telefoons. Vervolgens kon de politie van 1 april tot medio juni bekijken welke berichten EncroChat-gebruikers verzonden.

Het Openbaar Ministerie heeft vanaf vorig jaar september in verschillende processen-verbaal alle Nederlandse rechtbanken waar door de politie gekraakte chats van Encro-gebruikers een rol spelen, informatie verschaft over hoe die hack tot stand is gekomen.

De centrale stelling van het Openbaar Ministerie is dat Nederland in januari 2020 vanuit Frankrijk het signaal kreeg dat er een onderzoek op EncroChat liep en zo vernam dat de Fransen Encro zouden gaan hacken. Toen is daarom het Nederlandse onderzoek 26Lemont op het bedrijf EncroChat begonnen. Uit dat onderzoek kreeg de politie vervolgens als “bijvangst” miljoenen chats van gebruikers, op basis waarvan nu tal van verdachten worden berecht.

Aan dit uitgangspunt is de rechtmatigheid van de gehele operatie juridisch opgehangen. Als dit verhaal niet zou kloppen dan brengt dat de geldigheid van het bewijs uit de chats van EncroChat ernstig in gevaar, en daarmee het bewijs in tal van grote rechtszaken.

Rook

In september 2020 was er wat rook, zij het nog geen smoking gun, toen het Openbaar Ministerie aan de Nederlandse rechtbanken de eerste processen-verbaal over de Encro-hack stuurde. Er trad een contradictie aan het licht met het juichende persbericht van Europol uit de zomer van 2020 over de hack.

Dat persbericht spreekt van:

… onderzoeken die door Frankrijk en Nederland sinds 2018 geleid zijn …

Merkwaardig: omdat het onderzoek 26Lemont – volgens het OM – pas in januari 2020 zou zijn aangevangen. Deed Nederland pas mee vanaf januari 2020?

De feiten laten iets anders zien. In Frankrijk begon in 2018 het nationale cybercrimeteam C3N EncroChat te onderzoeken, zo blijkt uit Franse stukken die Crimesite heeft ingezien.

Het Nederlandse equivalent Team High Tech Crime (THTC) begon ‘in 2017’ EncroChat te onderzoeken. Dat vertelde de leider van het team in politievakblad Blauw.

Uit Britse stukken blijkt dat er inderdaad in 2019 samenwerking gaande was, tussen Nederland, Frankrijk en Groot-Brittannië. Er zat een ‘dedicated team’ van NCA, C3N en THTC op EncroChat. Een Britse interne e-mail van de NCA uit 2018 geeft blijk van die nauwe samenwerking tussen drie landen:

(tekst gaat verder onder reclame)

Andy Kraag

In een verklaring aan de Tweede Kamer vertelde Andy Kraag, hoofd van de Dienst Landelijke Recherche, in oktober 2020 dat men ‘jaren geleden’ met ‘Franse partners’ en Europol aan het EncroChat-onderzoek begonnen was.

Ook de Europese justitie was druk met EncroChat. Eurojust maakte duidelijk dat er naast de politionele samenwerking ook ‘intensively’ justitieel is samengewerkt tussen Frankrijk en Nederland sinds april 2019. Met de de betrokkenheid van een Nederlandse officier van justitie.

Tot zover de eerste onjuistheid die het OM aan de Nederlandse rechtbanken heeft voorgehouden. Het onderzoek naar EncroChat is helemaal niet begonnen toen het onderzoek 26Lemont werd gestart.

Het politie-onderzoek (van het THTC) liep al jaren.

Niet Encro, maar de gebruikers

De tweede onwaarheid die het Openbaar Ministerie aan de rechtbanken heeft voorgespiegeld is de pretentie dat het onderzoek op EncroChat zelf is begonnen, en niet op de gebruikers. Het verhaal is dat de Nederlandse justitie in politieonderzoeken vaststelde dat EncroChat door zware criminelen werd gebruikt. Toevallig kwamen de Fransen met hun onderzoek naar het bedrijf EncroChat en de hack, en om die reden is toen in januari 2020 26Lemont gestart, dus op het bedrijf EncroChat zelf.

Dat is gejokt. Volgens advocaat Bas Janssen zijn daarvoor voldoende aanwijzingen. Volgens de eerder genoemde verklaring van Andy Kraag werd nadat ‘jaren geleden’ het Encro-onderzoek werd gestart in het voorjaar van 2020 ‘een doorbraak bereikt.’ Kraag zei over die doorbraak:

Het is alsof je met dank aan Team High Tech Crime 10.000 telefoontaps hebt lopen (…) Meestal krijgen we een zaak waarbij we bewijs moeten zoeken. (…) Waar die criminelen zaten, wie het waren.

De politie wilde de chats om er daarna de criminelen bij te zoeken. Het ging om de gebruikers. De ‘doorbraak’ was volgens Kraag het verkrijgen van inzage in de chats. Hij vermeldt helemaal niks over de directie van EncroChat, of medeplichtigheid van het bedrijf. Onderzoek 26Lemont was een soort melkkoe om als “bijvangst” chats van criminelen af te vangen.

Ook het Openbaar Ministerie legde tegenover de Tweede Kamer een verklaring af:

In plaats van te rechercheren op basis van signalen, is het doel zicht te krijgen op platforms waarop criminelen met elkaar communiceren. Dit levert bruikbare informatie op voor lopende onderzoeken (zoals Marengo), maar leidt ook tot de start van nieuwe onderzoeken.

Dezelfde strekking dus: niet Encro zelf, zoals in 26Lemont is gesteld, maar de gebruikers van EncroChat waren doelwit. De intentie was niet opsporing maar inlichtingen verzamelen.

Advocaat Janssen:

Het hele internationale onderzoek was steeds gericht op bewijsvergaring tegen alle EncroChat-gebruikers. Het gevonden bewijs is geen “bijvangst”. Het was juist de bedoeling om die data te onderscheppen en te gebruiken. Het was een super-fishing expedition. En dat is wettelijk niet toegestaan.

Frankrijk of Nederland?

De derde onwaarheid was dat de Fransen geheel zelf het middel (de installatie van de malware) hadden bedacht en zelf het plan hadden gemaakt om de hack uit te voeren. In het verhaal dat het OM bij de Nederlandse rechtbanken neerlegde liep in Frankrijk – eigenlijk gewoon toevallig – óók al een onderzoek naar EncroChat. Vervolgens hadden de Fransen zelf het initiatief genomen om de hack uit te gaan voeren. Het OM schrijft dat:

Het de keuze van Frankrijk was om deze bevoegdheid in te zetten. Nederland is daarover geïnformeerd.

Crimesite schreef al eerder dat het er erg op leek dat Nederland in ieder samen met de Fransen naar de hack had toegewerkt. Feit is dat Nederland aan de Fransen een eerste gouden tip gaf, in 2017. Andy Kraag schreef aan de Tweede Kamer:

Vanuit dat startpunt in 2017 heeft intensief onderzoek geleid tot een computerserver van deze dienstverlener in Frankrijk.

Nederland zette de Fransen dus op het spoor van de lokatie van de EncroChat-server, bij provider OVC in Roubaix.

Advocaat Bas Janssen citeert een Engels vonnis. De rechter concludeert dat er op 19 februari 2020 op een Europol-meeting door een Joint Investigative Team (JIT) van Fransen en Nederlanders was uitgelegd:

Dat zij een mogelijkheid hadden ontwikkeld om data van EncroChat-apparaten te pakken te krijgen die ze zouden gaan uitvoeren (…) de start was geheel gecontroleerd door het JIT …

Nederlandse officieren van justitie – en geen Franse – gaven op een Europol-bijeenkomst in januari 2020 een technische uiteenzetting over de hack (‘possibility to infect these phones’) en over hoe Nederland de infrastructuur van EncroChat had ontleed. Ze hadden ook Franse ‘data’ bekeken. Advocaat Janssen:

Waarom deden de Nederlanders dat als de Fransen zelf toch al een interceptie-tool hadden ontwikkeld en zelfstandig hadden besloten tot inzet daarvan? Het is duidelijk: Nederland had de technische informatie waarmee men de Encro-toestellen kon infecteren en de hack kon laten gebeuren.

Advocaat Janssen haalt ook een Brits memo van 5 februari 2020 aan, waarin sprake is van een ‘French/Dutch plan’. En ook de volgende aantekening van de NCA uit januari 2020, uit een Europol-overleg:

If Dutch agree when launch the investigation can share full copy of data to the UK.

Maar wacht: als het nu echt een zuiver Franse operatie was geweest – zoals het Openbaar Ministerie aan de Nederlandse rechtbanken heeft laten weten – dan hadden de Nederlanders toch niks te zeggen over de hack-operatie? Laat staan over de kwestie of de data uit die hack naar de ‘UK’ zouden gaan.

Kortom het is hoogst onwaarschijnlijk dat de Fransen Nederland plotseling op het laatste moment informeerden over de komende hack (zoals het OM volhoudt), aldus Janssen. De Nederlandse justitie wist het al.

Hoofdrol

In januari en februari 2020 voerden Frankrijk, Nederland en Groot-Brittannië technisch overleg over de hack die ging komen.

Het Franse team (‘Emma95’) dat de Encro-zaak ging draaien is in maart opgericht. Maar toen had cyberteam C3N al machtigingen aangevraagd bij de Franse rechter. C3N was het team dat al drie jaar nauw met het Nederlandse THTC samenwerkte, met betrokkenheid van justitie.

En het OM zegt nu dat Nederland tevoren van niks wist. Janssen gelooft dat niet:

De hack in Frankrijk is aangevraagd vanuit het technische team C3N. Dat kan niet anders, want het tactische team EMMA95 was nog niet eens opgericht in januari 2020. C3N werkte al sinds 2018 met het THTC in Nederland samen en zijn daarmee doorgegaan onder leiding van hun nationale OM na april 2019. En dan “overvalt” Frankrijk Nederland als het ware met de mededeling dat ze gingen hacken?

Alsof Nederland dat niet wist.

Volgens Janssen was het niet voor niks dat commissaris Andy Kraag aan de Tweede Kamer schreef dat ‘we’ een doorbraak bereikten. Frankrijk en Nederland werkten nauw samen.

En bij die ‘doorbraak’ hadden anonieme Nederlandse techneuten van het THTC een hoofdrol. Het Openbaar Ministerie probeert nu hun rol tot nul te reduceren. Zo bezien is het twijfelachtig of inderdaad de Fransen met hun techniek (‘militair staatsgeheim’) de operatie uitvoerden.

Het Nederlandse Openbaar Ministerie werd in ieder geval niet overvallen door de Fransen maar had juist de regie, stelt Bas Janssen. Als dat waar is dan zijn de eerste processen-verbaal van politie en Openbaar Ministerie over de EncroChat-hack ver bezijden de waarheid.

Het Openbaar Ministerie moet in de Limburgse drugszaak binnen vier weken na afgelopen vrijdag met een reactie op het verhaal van Janssen komen. Het Limburgse parket moet de reactie afstemmen met het landelijk parket.

Overigens was het uitlekken van de Britse stukken voor het Openbaar Ministerie reden voor woede, het leidde tot een klagende diplomatieke démarche naar de Britse autoriteiten.

Eerdere berichten:

‘EncroChat-hack was volgens Franse wetgeving illegaal’ (UPDATE)

Brits document laat zien hoe EncroChat werd gehackt

Sommige Encro-gebruikers verwijderden oude berichten niet

EncroChat: de reconstructie van de hack (UPDATE)