Une odyssée numérique. Trois hommes sont jugés devant la cour d'assises spéciale de Paris, depuis lundi 1er février, soupçonnés d'avoir tenté de commettre un attentat à Paris en décembre 2016. Deux Strasbourgois de 41 ans, Yassine Bousseria et Hicham Makran, et un Marocain de 30 ans, Hicham El-Hanafi, sont poursuivis pour "association de malfaiteurs terroriste en vue de la préparation de crimes d'atteinte aux personnes". Ils encourent 30 ans de réclusion criminelle.
Ce procès revêt un caractère exceptionnel car, comme le souligne Le Monde (article réservé aux abonnés), "il est le premier à reposer sur une cyber-infiltration menée par les services de renseignement". L'opération est celle d'un agent de la Direction générale de la sécurité intérieure (DGSI), qui témoignera par visioconférence vendredi, sous le nom de code 282-SI, surnommé aussi "Ulysse". Retour sur cette cyber-infiltration au cœur de l'organisation terroriste Etat islamique, qui a été déterminante pour déjouer une nouvelle attaque sur le sol français.
En quoi consistait cette opération ?
Tout commence en mars 2016, d'après Le Parisien. La Direction générale de la sécurité intérieure apprend, par l'intermédiaire d'un renseignement humain, que l'Etat islamique tente de se procurer des armes afin de mener "une action violente" en France. Un homme en contact avec un membre de l'organisation terroriste sur la messagerie cryptée Telegram a en effet informé la DGSI, "effrayé par la tournure qu'ont prise ses conversations avec les jihadistes", décrit Mediapart (article réservé aux abonnés). Le renseignement utilise ses comptes pour entrer en contact avec les terroristes. Un agent de la DGSI, "Ulysse", débute sa cyber-infiltration pour en savoir plus.
Se faisant passer pour un candidat au jihad, il rejoint une conversation sur Telegram et prend contact avec "l'émir" à la tête du groupe, "Sayyaf". Des discussions poussées entre l'agent du renseignement et ce membre de l'EI, basé en Syrie, débutent. "Sayyaf" réclame "quatre kalach, avec chaque kalach quatre chargeurs et des munitions". Lui et l'agent de la DGSI échangent à propos de l'acheminement auprès de ce dernier de plus de 12 000 euros, qui doivent servir à l'achat de ces armes.
D'après Le Parisien, "l'émir" indique, le 24 juin 2016, que la somme (d'un total de 13 300 euros) est cachée au sein du cimetière du Montparnasse, dans le 14e arrondissement de Paris. "Sayyaf" détaille le chemin pour retrouver l'argent, puis précise que "le paquet est entre la pierre tombale et la dalle de la tombe dans une fente". La matinée du 25 juin, un policier parvient à retrouver l'argent, sans toutefois savoir qui l'a déposé au cœur du cimetière.
Quel était le piège préparé par la DGSI ?
Une fois la somme récupérée, l'agent infiltré au sein du groupe jihadiste sur Telegram annonce à "Sayyaf" avoir acheté les armes souhaitées, et les avoir dissimulées au cœur de la forêt de Montmorency (Val-d'Oise). Comme le précise Le Monde, le service interministériel d'assistance technique a désactivé les armes en question : quatre kalachnikovs, donc, et des munitions. Celles-ci sont ensuite enfouies dans une cache, scrutée par des caméras de surveillance. "Ulysse" transmet les indications nécessaires, coordonnées GPS comprises, pour permettre aux hommes de "Sayyaf" de récupérer les armes. Le piège est prêt.
Tout semble en ordre pour que l'opération fonctionne, mais un premier blocage intervient. "Sayyaf", précise Le Monde, n'aime pas cette prise d'initiative et veut surtout qu'"Ulysse" passe directement à l'action violente. "Tu es un Moudjahid et (…) tu es un soldat du Califat et sache que tout soldat doit obéissance à son Emir. Il se peut que je te demande de faire telle ou telle chose, sache que ce sont des commandements qui te viennent d'en haut et non pas le fruit de mes désirs personnels, écrit "l'émir" à l'agent du renseignement. Akhy [mon frère], à ce jour d'aujourd’hui, ce qui t'est demandé c'est de passer à l'action, même si ça peut te paraître désagréable", poursuit-il. "Ulysse" refuse à plusieurs reprises, ce qui entraîne la fin des discussions entre les deux hommes. L'enquête patine pendant plusieurs mois.
Comment l'infiltration a-t-elle finalement pu déjouer l'attentat ?
Le renseignement a joué un rôle clé, en parallèle de cette cyber-infiltration, pour permettre d'éviter le passage à l'acte. Au début du mois de novembre 2016, le renseignement français est informé que deux hommes venus de Strasbourg, l'animateur d'une école du quartier de la Meinau, Yassine Bousseria, et Hicham Makran, clament être prêts à mener un acte violent en France après un séjour à la frontière entre la Turquie et la Syrie. Selon Le Parisien, sans réussir à franchir la frontière, les deux quadragénaires y ont obtenu une clé USB contenant plusieurs messages... dont l'un, crypté, donnant les indications pour retrouver les armes de Montmorency. La police retrouve cette clé et parvient à décoder ce message après l'interpellation des deux hommes, dans la nuit du 19 au 20 novembre. "Ecoute, on a bien compris Hamdoulilah pour l'adresse et le matos […]. On peut Tapé (sic) le 1er décembre", indiquent les deux suspects dans leur réponse.
Toujours en novembre 2016, un autre renseignement permet à la DGSI de découvrir qu'un jihadiste, basé en Syrie, souhaite qu'une personne en France récupère deux armes, des kalachnikovs, détaille Le Parisien. Le renseignement français met alors au point une deuxième opération de cyber-infiltration, cette fois-ci sur la messagerie Threema. Un "émir" de l'Etat islamique converse sans le savoir avec un agent de la DGSI, et émet son souhait de trouver armes et logement pour un homme à Marseille – Hicham El-Hanafi. L'agent du renseignement français sera finalement l'hébergeur du Marocain dans la cité phocéenne, ce qui permettra son interpellation, dans la nuit du 20 au 21 novembre.
L'enquête montrera qu'Hicham El-Hanafi, un Marocain radicalisé ayant vécu au Portugal, s'est rendu dans la forêt de Montmorency à deux reprises le 14 novembre, non loin de la fameuse cache des armes, relate Le Parisien, pour tenter, sans succès, de récupérer les fameuses kalachnikovs. Le trentenaire, visiblement radicalisé par le recruteur marocain de l'EI, Abdesselam Tazi, est soupçonné d'être passé de la Turquie à la Syrie début 2015. Il y aurait rejoint un entraînement de l'EI.
L'opération a-t-elle permis d'obtenir d'autres informations ?
Comme l'explique Le Parisien, ces actions de cyber-infiltration ont permis de retrouver l'identité des donneurs d'ordre de ces suspects. D'après le quotidien, les enquêteurs estiment que "Sayyaf", l'émir avec qui "Ulysse" discutait sur Telegram, était Salah-Eddine Gourmat. Il s'agit d'un homme originaire de Paris et membre de la cellule des opérations extérieures de l'Etat islamique. Une frappe américaine l'a tué, le 4 décembre 2016. Dans un communiqué, le Pentagone assure qu'il aurait contribué à l'organisation des attentats du 13-Novembre, rapporte Libération.
Salah-Eddine Gourmat était proche de Boubaker El Hakim, de la filière des Buttes-Chaumont, mort quelques jours avant lui à Raqqa lors d'une frappe d'un drone américain. Ce dernier, précise Le Parisien, était connu comme le Français le plus haut placé au sein de l'Etat islamique. Il était le seul contact du compte d'Hicham El-Hanafi sur Telegram, ajoute le journal.