Sommige Encro-gebruikers verwijderden oude berichten niet

Sommige Encro-gebruikers verwijderden oude berichten niet

De Nederlandse politie beschikt over berichten van gebruikers van EncroChat die zijn verstuurd voordat de hack in Frankrijk op 1 april vorig jaar begon. In politiedossiers over verschillende grote Nederlandse strafzaken komen ook chats voor uit februari en maart. Oorzaak is dat sommige Encro-gebruikers de wisfunctie niet maximaal hadden ingesteld. Zo lieten ze oude berichten in hun telefoons staan.

Door @Wim van de Pol

Een en ander blijkt uit stukken uit Britse strafdossiers die Crimesite heeft ingezien, uit Operatie Venetic, een Brits equivalent van het Nederlandse onderzoek 26Lemont waarin de Encro-informatie uit Frankrijk wordt verzameld. Uit een verklaring van een teamleider van de C3N (de Franse cybercrime-unit) blijkt dat in de hack-operatie niet alleen live kon worden meegekeken maar ook niet gewiste berichten uit de telefoons konden worden gehaald.

39.000 telefoons

Uit een notitie van de Britse National Crime Agency blijkt dat deze dienst in 2019 schatte dat EncroChat wereldwijd 55.000 gebruikers had. Van 1 april tot half juni 2020 werden alle berichten van ongeveer 39.000 Encro-telefoons opgeslagen op een server van Europol in Den Haag. Dat werd een gigantische data-verzameling.

Als een Encro-telefoon na 1 april aan stond konden de berichten die werden verstuurd worden onderschept en opgeslagen, samen met een ware sloot aan andere gegevens, zoals over een eventuele wifi-verbinding, usernames, wachtwoorden, call log, een eventuele gsm-mast (cell ID) en ook opgeslagen data, zoals oudere berichten. Zo kregen agenten ook foto’s en opgeslagen berichten van Encro-gebruikers uit februari en maart in bezit.

Speciaal team

Uit de verklaring van de eerder genoemde Franse teamleider (tegenover de Britten) blijkt dat er in de EncroChat-server in Roubaix een kopie van de datastroom werd gemaakt voor de Franse politie. De data van die maandenlange communicatie gingen vervolgens naar servers van Europol in Den Haag.

Een speciaal politieteam van inlichtingen-officieren uit verschillende landen maakte daar, terwijl de berichten binnenkwamen, een snelle eerste inventarisatie van de criminele berichten waaruit een levensbedreigende situatie sprak. De recherche in het land waar de gevaarlijke situatie speelde werd dan direct ingeseind, in de hoop een liquidatie of gijzeling te voorkomen.

Op basis van de locatiegegevens werden vervolgens in Den Haag pakketten met data gemaakt. Als een telefoon in Nederland was dan gingen de onderschepte berichten (en de andere informatie van die telefoon) naar Nederland. Gegevens die door Britse gsm-masten waren verwerkt gingen naar het Verenigd Koninkrijk. Andere Europol-landen waren van tevoren van de operatie op de hoogte gebracht. Zij konden hun pakketten met berichten die met telefoons in hun land waren verstuurd aanvragen en kregen die vorige zomer toegestuurd. (tekst gaat verder onder reclame)

Nummer A en nummer B

Een vraag die waarschijnlijk in rechtszaken gaat spelen is hoe betrouwbaar de data zijn. Met andere woorden (bijvoorbeeld): hoe kan een rechter zeker weten dat het klopt dat de recherche bepaalde berichten koppelde aan een bepaalde telefoon. De genoemde Franse teamleider zegt dat de data zoals die vanuit Roubaix naar Den Haag zijn gegaan met een hash-getal in ieder geval zijn gecertificeerd. Hij weet niets van de verdere verwerking in Den Haag.

Uit e-mails en berichten uit de Britse Operation Venetic komt naar voren dat de vertaalslag niet altijd goed is gegaan. Zo vraagt het hoofd operaties van de National Crime Agency (NCA) in juli vorig jaar in een e-mail aan zijn medewerkers hoe het mogelijk is dat er in het VK in het bewijs in verschillende strafrechtelijke onderzoeken ’conflicterende’ ‘inconsistenties’ zijn aangetroffen. Bijvoorbeeld: in de ene dataset neemt op een bepaald tijdstip nummer A met nummer B contact op terwijl in een andere zaak op dat moment volgens de data juist dat nummer B contact opneemt met nummer A. De NCA-chef zegt te vermoeden dat er een verschil zit in hoe de data ‘is geïnterpreteerd’ door de Britse en Franse specialisten.

Informatie over Frans onderzoek

Het is opvallend dat in de Britse tegenhanger van 26Lemont – onderzoek Venetic – concrete informatie is opgenomen over het Franse onderzoek naar EncroChat, zoals het verhoor met de Franse teamleider. Dergelijke stukken moeten ook in Nederland zijn en in 26Lemont zijn opgenomen. Dat houdt het OM hier achter de hand. Over het onderzoek 26Lemont is het Openbaar Ministerie tegenover de rechtbank in andere zaken tot nu toe uiterst kort van stof geweest. Veel meer dan dat er door Nederland en Frankrijk ‘onderzoek is gedaan’ naar EncroChat is er niet vermeld.

“Emma”

Doelwit van het onderzoek 26Lemont (en de Franse tegenhanger “Emma”) is alleen EncroChat en de mensen achter het bedrijf.

Het Franse onderzoek Emma is – volgens Franse stukken – begonnen in 2018 nadat er – net als in Nederland – Encro’s werden gevonden bij verdachten in drugszaken. Dat was in 2017 en 2018 bij zeven (opvallend kleine) zaken: over hasjtransporten en autodiefstal. De Franse justitie (in Lille) startte het onderzoek Emma op 7 December 2018. Volgens de Franse teamleider werd EncroChat alleen gebruikt door criminelen en was EncroChat daarom een criminele organisatie. Dat is dezelfde redenering die de Nederlandse justitie volgt.

Getipt?

Meerdere bronnen hebben aan Crimesite overigens verzekerd dat een aantal personen achter EncroChat tot de top van de Nederlandse criminaliteit kan worden gerekend. Een interessante vraag is hoe de Fransen erachter kwamen dat de Encro-server in Roubaix te vinden was. Kwam dat uit hun eigen onderzoek? Of waren ze misschien al getipt door de Nederlanders of de Britten die dit al eerder hadden uitgevlooid? Zowel de Nederlandse als de Britse politie wisten al vanaf 2017 en 2018 dat Encro veel door criminelen werd gebruikt, zo blijkt uit Nederlandse en Britse politiedossiers. Het aantal Franse gebruikers is overigens verreweg in de minderheid vergeleken met het aantal Britse en Nederlandse.

Formeel werkten de Franse en de Nederlandse politie pas samen vanaf februari 2020 toen het gezamenlijke rechercheteam (JIT) werd begonnen. Bewijs over samenwerking voor die tijd is er niet maar het is waarschijnlijk dat er informeel al contact is geweest tussen Nederlandse en Franse agenten.

Bijvangst

Het lijkt erop dat het Nederlandse Openbaar Ministerie liever zo min mogelijk informatie over de gang van zaken in Frankrijk in lopende zaken aan rechtbanken wil geven. Het OM vindt dat het zogenoemde “vertrouwensbeginsel” voldoende is. Een Franse rechter heeft zijn goedkeuring aan het onderzoek en aan de politie-hack gegeven, en dat garandeert de rechtmatigheid, vindt het OM. In twee Limburgse strafzaken hebben advocaten inmiddels gesteld dat dit onvoldoende is.

Het onderzoek 26Lemont is gericht op EncroChat en de mensen erachter. Het is onbekend of hierbij concrete verdachten in beeld zijn gekomen. Het is opmerkelijk dat alle geruchtmakende chats die nu een rol spelen in de verdenkingen tegen Roger “Piet Costa” P. en medeverdachten over martelcontainers en cocaïnesmokkel, en bijvoorbeeld tegen Piet S. en anderen, over enorme cocaïnetransporten, en de zaak tegen de familie R. uit Oss, allemaal afkomstig zijn uit 26Lemont.

Die informatie is allemaal “bijvangst” uit 26Lemont. Net als in de strafzaak tegen Ennetcom (gekraakt in 2016), die al jaren in voorbereiding is bij de rechtbank, is 26Lemont vooral de methode waarmee het Openbaar Ministerie de gekraakte pgp-chats in het bewijs van andere zaken kan laten stromen.

Zie ook:

EncroChat: de reconstructie van de hack (UPDATE)