Comment enquêter, saisir, condamner, quand ni les auteurs ni les preuves ne se trouvent sur le territoire ? La question était au cœur de la table ronde « La justice spécialisée contre le crime organisé : quel rôle face à la cybercriminalité ? » du Forum INCYBER, à Lille.

« On n’a aucun dossier “national”, c’est une certitude. Même quand c’est un Français qui attaque une société française, il va utiliser un serveur allemand. » Le constat d’Aurélien Brouillet, substitut du procureur à la section cybercriminalité (J3) du parquet de Paris, résume l’équation à laquelle la justice pénale est confrontée : des institutions construites sur la souveraineté territoriale face à une criminalité qui ne connaît pas de frontières. 

Le crime sans scène de crime

« Quand on pense à une scène de crime de meurtre en France, la victime est en France, l’auteur probablement aussi, et l’ensemble des preuves très probablement également. En matière de cybercriminalité, il est rare qu’à part la victime, on ait un élément qui soit en France », décrit Sophie Gschwind, magistrate au bureau français d’Eurojust, où elle préside le groupe de travail sur la cybercriminalité. Or, les enquêteurs français n’ont pas compétence pour collecter des preuves à l’étranger. Il faut passer par des mécanismes d’entraide dont la lourdeur s’accommode mal d’infrastructures d’attaque qui vivent parfois seulement quelques heures. À cette volatilité s’ajoute le volume : sur le grand dossier d’interception de communications chiffrées Sky ECC, vingt enquêteurs de différents États qui travaillent à plein temps depuis cinq ans, et la donnée n’est exploitée à ce jour qu’à 60 %.

La première réponse a été organisationnelle. En France, toutes les investigations d’ampleur sont centralisées au parquet de Paris. Une même souche de ransomware qui frappe une entreprise à Dijon et une brasserie à Lille ne peut pas donner lieu à deux procédures qui s’ignorent : « on ne peut pas faire deux procédures distinctes alors qu’on a le même groupe criminel », explique Aurélien Brouillet, dont la section est passée de deux à six magistrats en quelques années. À l’échelle européenne, les équipes communes d’enquête permettent de fusionner des procédures entre États et d’échanger des preuves en temps réel, tandis que le mandat d’arrêt européen reste, selon Myriam Quemener, « un outil procédural très efficace » pour interpeller des auteurs réfugiés dans un autre pays. Steven Ormston, de la Polish Platform for Homeland Security, qui a coordonné pendant cinq ans le réseau européen de praticiens CYCLOPES, y met toutefois un bémol : « Je suis régulièrement stupéfait de voir qu’il subsiste des activités en silos à l’intérieur même des pays. La coopération doit commencer au niveau local. »

Viser l’infrastructure, faute de pouvoir atteindre les hommes

« Depuis l’agression en Ukraine, la coopération avec la Russie est complètement bloquée », constate Sophie Gschwind. Le schéma classique, partir de la plainte d’une victime pour remonter vers un auteur, avait déjà montré ses limites : serveurs volatils, VPN, hébergeurs non coopératifs. Le blocage géopolitique l’a rendu complètement caduc.

Les autorités judiciaires ont donc inversé l’enquête. Plutôt que de chercher des hommes, elles visent ce dont ils dépendent : les outils d’accès initial, ciblés par l’opération Endgame, qui mobilise une dizaine de pays depuis 2024 ; les services de proxys et de VPN criminels ; les infrastructures des groupes eux-mêmes, de LockBit au réseau hacktiviste pro-russe NoName057(16), visé à l’été 2025 par l’opération Eastwood. Eurojust parle d’« enquêtes chapeau » : on identifie d’abord les acteurs au sein des outils, puis on vient y rattacher les plaintes. « Toucher l’infrastructure, c’est aussi toucher la confiance. Parfois elle se reconstitue, parfois non. Mais il y a au moins cette entrave, temporaire, parfois définitive, qui est celle de l’action de la justice », résume la magistrate.

Pour le parquet de Paris, la méthode n’est pas étrangère au monde judiciaire. « Pour faire tomber la criminalité organisée, c’est comme ça qu’il faut agir. Ce n’est pas avec la personne qui vend le stupéfiant que vous faites tomber un trafic de stupéfiants ; c’est en vous attaquant à la personne qui fait transiter les conteneurs », rappelle Aurélien Brouillet. Cette filiation avec la lutte anti-criminalité organisée explique, selon lui, la rapidité inhabituelle de l’adaptation judiciaire. Elle s’applique dans des dossiers pénitentiaires : plutôt que de condamner un à un les détenteurs des mini-téléphones qui circulent en détention, J3 a remonté la filière d’approvisionnement. Le dossier, baptisé Prison Break, a démantelé un réseau entier de dispositifs conçus pour échapper aux forces de l’ordre.

Bloquer les flux financiers, deuxième point de pression

L’autre dépendance des cybercriminels, ce sont les crypto-actifs, exigés pour les rançons puis blanchis via des services de mixage et des plateformes d’échange complaisantes. La justice française a appris à s’en saisir, au sens propre. L’AGRASC, l’agence de gestion des avoirs saisis, peut désormais saisir des crypto-actifs avant tout jugement. « Quand on touche au porte-monnaie, c’est assez intéressant », observe Myriam Quemener, qui en mesure l’effet dans les prétoires : « J’ai énormément d’affaires de personnes qui font appel de saisies de crypto-actifs. » La logique de démantèlement s’y retrouve aussi : « plutôt que de suivre le bitcoin jusqu’à un opérateur aux Seychelles qui répondra quand il aura envie », J3 s’attaque aux structures « qui n’existent que pour blanchir des fonds ». Steven Ormston pointe, lui, une piste complémentaire, empruntée à la voie civile : « demander aux détenteurs d’énormes volumes de crypto-actifs de justifier leur origine, faute de quoi on peut les saisir ».

Mais ce terrain révèle une fragilité que le substitut du procureur expose : l’analyse des flux repose sur des outils privés, dont le fonctionnement doit pouvoir s’expliquer devant un tribunal. « Quand je me lève pour demander qu’on envoie quelqu’un en prison, il vaut mieux que je sois sûr de mon coup. Si je ne suis pas capable d’expliquer ce résultat, il ne va pas partir en prison. Et c’est un peu normal. » La preuve numérique reste le nerf de la guerre, et tout ne dépend pas des magistrats : les politiques de non-conservation des données de connexion de certains hébergeurs privent les enquêteurs de traces. « Le no-log, c’est un désastre pour les enquêtes », explique Sophie Gschwind, en pointant l’absence d’harmonisation européenne sur la rétention des données.

Reste la question des moyens, sur laquelle les intervenants ont conclu. Sophie Gschwind plaide pour un partenariat public-privé concret, où les entreprises, « premiers témoins des phénomènes criminels », feraient remonter spontanément les nouvelles tendances à une justice incapable d’assurer cette veille seule. Steven Ormston déplace le curseur vers la prévention et l’éducation, parce que ces crimes « ne relèvent pas seulement de la police ou de la justice, mais aussi de l’éducation, de la santé ». Aurélien Brouillet, lui, réclame des enquêteurs formés, dans un domaine où les compétences se périment en six mois. « Si j’avais une baguette magique, je demanderais plus de moyens. Vos impôts sont bien utilisés, continuez à les payer. Ne partez pas aux Seychelles ! » La doctrine semble se mettre en place ; son application, elle, dépendra d’arbitrages budgétaires et de considérations géopolitiques qui débordent l’espace numérique. 

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.