Onkraakbaar zijn de cryptotelefoons van de onderwereld. Hoe deze politieman er tóch in slaagde

Twee jaar deden ze erover. Toen wist politie-whizzkid M. samen met zijn collega’s de geheime telefoons van de drugskartels te kraken. Goed voor Belgisch wereldnieuws. ‘Twee jaar geleden al zeiden we onder elkaar: dit is eigenlijk een Netflix-serie.’

Elke dag pendelt M. met de fiets naar de gebouwen van de federale politie Antwerpen aan de Noordersingel, het hart van de war on drugs. Witte sneakers, jeansbroek, een hemdskraag die netjes boven een Marc Van Ranst-trui uitkomt. Hij praat rustig en nuchter, een tikje bescheiden. Alsof hij niet net een van de belangrijkste politiemensen van het land geworden is.

M. is de man die de kraak van Sky ECC mogelijk maakte, een spectaculair unicum in de Belgische politiegeschiedenis. Nooit eerder kregen de veiligheidsdiensten zo’n inkijk in de interne communicatie van de onderwereld. Honderden miljoenen berichten, vol instructies voor drugstransporten, betalingen, afrekeningen en ontvoeringen. Ettelijke tonnen coke konden daardoor onderschept worden, tientallen zware jongens werden opgepakt.

We konden M. spreken op voorwaarde van anonimiteit. “Er zijn vandaag wel een paar mensen die graag zouden weten wie hij is en waar hij woont”, zegt Yve Driesen, baas van de federale gerechtelijke politie in Antwerpen. “En we weten: voor een paar duizend euro raak je aan elk adres.”

IT-loopjongen

Na studies in informatica en management kwam M. goed tien jaar geleden bij de lokale politie terecht, als systeembeheerder. Een IT-loopjongen, zeg maar, die zorgt dat de computers blijven draaien.

M.: «Ik merkte dat ik toch liever operationeel werk wou doen. Uiteindelijk belandde ik bij de Computer Crime Unit van de Antwerpse federale politie, waar ik de contactpersoon werd voor de afdeling Drugs. Het was daar dat er enkele jaren terug steeds meer cryptotelefoons binnenkwamen.»

Zulke geëncrypteerde telefoontoestellen behoren tot het vaste arsenaal van internationale criminele organisaties. De telefoons zijn in de regel grotendeels onklaar gemaakt: er worden geen gps-signalen verzonden, klassieke oproepen of sms’en zijn onmogelijk. Communicatie verloopt via een applicatie die alle data versleutelt. Wie meeleest zonder de sleutel te hebben, ziet niet meer dan een onbegrijpelijke reeks cijfers en letters. Abonnementen op zulke telefoons zijn daarom heel duur, duizenden euro’s per jaar.

Driesen: «Het zijn niet de winkeldieven die dit gebruiken. Dit gaat om topcriminele organisaties, die internationaal ontplooid zijn. Zij kunnen dat betalen, en zij hebben behoefte aan zo’n systeem.»

In de Scheldestad doken vooral de cryptotelefoons van het Amerikaans-Canadese Sky ECC op. Enkele duizenden toestellen waren in ons land in gebruik, meer dan de helft in en rond Antwerpen. Andere hotspots concentreerden zich rond Brussel, langs de grens in de Kempen, rond Maasmechelen, Luik, Charleroi en Bergen.

M.: «In Antwerpen werden honderden Sky-telefoons in beslag genomen. We probeerden die natuurlijk uit te lezen om te kijken wat daarop te vinden was. Het resultaat was altijd negatief. Dat was frustrerend. Omdat criminelen cryptotelefoons gebruikten, was er op hun ‘gewone’ toestellen ook nog eens steeds minder informatie te vinden.»

Begin 2018 heeft M. er genoeg van. Samen met zijn superieuren stapt hij naar het parket: er moet iets gebeuren, maar de vraag is wat er juridisch mogelijk is. Uiteindelijk komt Sky ECC in het vizier als een potentiële criminele organisatie.

M.: «Wij vonden aanwijzingen dat Sky willens en wetens het werk van criminelen faciliteerde. Ten eerste was er het hoge aantal inbeslagnames. Op hun website maken ze ook reclame voor technieken die enkel bij politie en criminelen gekend zijn. En als we hulp vroegen in een onderzoek, wilden ze nooit meewerken.»

Eén manier om aan te tonen dat Sky vrije baan maakt voor criminelen, is door aan te tonen dat haar klanten nagenoeg exclusief criminelen zijn. Klein probleem: de telefoons zijn nog steeds geëncrypteerd. Zolang de politie niet mee kan lezen, is het onmogelijk om aan te tonen dat de toestellen voor criminele activiteiten gebruikt worden.

Er wordt vanuit Antwerpen druk internationaal overleg gepleegd met computerspecialisten bij buitenlandse korpsen. Nederland geeft aan met een gelijkaardig dossier te zitten: Encrochat, een andere aanbieder van cryptotelefoons. Die dienst wordt uiteindelijk in de zomer van 2020 gekraakt. Het onderzoek leidt onder meer naar een folterkamer op de Belgisch-Nederlandse grens.

Netflix-serie

Eind 2018 stapt M. op een vliegtuig richting Australië. In Sydney staat een bijeenkomst gepland van een twintigtal politiemensen van over de hele wereld: de VS, Canada, Australië, verscheidene Europese landen. M. vertegenwoordigt als enige België. Een week lang zitten ze samen om te beslissen hoe ze de versleutelde berichtendienst binnen willen raken.

M.: «Toen al zeiden we onder elkaar: dit is eigenlijk een Netflix-serie. We waren al aan het bedenken welke acteur welke rol zou spelen.»

Er zijn twee wegen om Sky binnen te raken. Eén: langs de telefoontoestellen. Twee: langs de servers, de computers waar alle verzonden data moeten passeren. Wie in de servers zit, kan als het ware overal aan. Volgens de krant De Tijd haalden de speurders waardevolle technische kennis uit enkele telefoons die ze toch konden inkijken, omdat de gebruikers ze vergrendeld hadden met erg makkelijke codes.

M.: «In de naam Sky ECC staat ECC voor elliptic-curve cryptography. Dat is een gekende encryptietechniek. Standaard ECC is niet te kraken. Het doel was dus om daar een oplossing voor te vinden. Hoe we dat gedaan hebben, kunnen we niet zeggen – dat beschouwen we als afgeschermde politietechnieken.»

De internationale samenwerking wordt opgeschroefd. Eind 2019 wordt een samenwerking opgestart met Frankrijk, Nederland, Europol en Eurojust. Op die manier kunnen ze niet alleen informatie makkelijker delen, maar ook technologie. In het najaar komt het Sydney-groepje opnieuw samen, dit keer in Antwerpen.

M.: «Om de data die we hadden naast elkaar te leggen, en te kijken: wat kunnen we hier nu mee? En hoe werkt die versleuteling precies? Intussen wisten we dat de encryptie uit verschillende lagen bestond. Alsof je wachtwoord beveiligd is met een ander wachtwoord. Een van die lagen hebben we daar doorgrond.»

De maanden daarop organiseren de speurders verschillende zogenaamde tech sprints. Anders gezegd: ze gaven zichzelf 48 uur de tijd – «met pizza, hamburgers en cola» – om een specifiek probleem op te lossen. Een soort hackersfeestje, dat door corona noodgedwongen enkele keren digitaal moest doorgaan.

M.: «Een tiental personen van de federale politie heeft heel die periode hieraan gewerkt. Lange tijd wisten we niet of het ging lukken.»

Alles moet in het grootste geheim verlopen. M. zal nog voor de lockdown van thuis uit aan het werk gaan, zodat er niemand op zijn scherm kan meekijken.

In december 2020 is het prijs. Een deel van de code is gekraakt. Al ruim een jaar waren de speurders erin geslaagd berichten te onderscheppen, maar nu pas kunnen ze die ook beginnen te ontcijferen en lezen. De Belgische drugswereld wordt gerund vanuit rijke oliestaten als Dubai. Vandaar kunnen de zetbazen van de criminele netwerken nagenoeg ongestoord de kleinere garnalen in ons land aansturen. De politie heeft vanaf nu toegang tot stukken van hun interne communicatie.

800.000 dollar

Op de hogere echelons wordt intussen de volgende fase voorbereid. Iedereen beseft al langer: als het lukt om Sky digitaal te infiltreren, begint het werk pas echt. Er zal een enorme informatiestroom op gang komen, alle berichten moeten op een of andere manier verwerkt worden. De chronische onderbemanning bij de gerechtelijke politie dreigt het onderzoek parten te spelen. Er wordt intern gezocht naar manieren om handen vrij te maken, maar er is meer nodig.

Eind oktober 2020 trekt federaal procureur Frédéric Van Leeuw naar de zesde verdieping van de Brusselse Financiëntoren, naar het kabinet van kersvers minister Van Justitie Vincent Van Quickenborne (Open Vld). Van Leeuw brieft Van Quickenborne over de zaak-Sky. De minister beseft dat het dossier absolute prioriteit moet krijgen. Die avond nog belt hij met minister van Binnenlandse Zaken Annelies Verlinden (CD&V) en premier Alexander De Croo (Open Vld). Ook Catherine De Bolle, voormalig topvrouw van de federale politie en vandaag baas van Europol, wordt gecontacteerd, met de vraag of de Europese politiedienst nog extra hulp kan bieden.

Door te schuiven met budgetten wordt er geld gevonden voor 61 juristen die bij het parket en de magistratuur de zaken zullen moeten opvolgen. Er is geen tijd te verliezen. De juridische diensten bellen dan maar zelf universiteiten en advocatenkantoren af, op zoek naar geschikte kandidaten.

Vanuit Justitie komt nog een ander, creatief, financieringsvoorstel. Al sinds 2012 staat nog 800.000 dollar geparkeerd op een bankrekening van de politie. Geld van de Amerikaanse Justitie, uit dank omdat ons land had geholpen bij de arrestatie van drugsbaas Riccardo Fanchini. De regering beslist om het Fanchini-geld nu eindelijk vrij te maken voor het onderzoek naar Sky ECC.

Elke dag miljoenen berichten

Vanaf december slorpt het onderzoek alle tijd op voor M. en de andere speurders. Voor het eerst krijgen ze toegang tot de systemen van Sky. Tegelijk moeten ze voortdurend in de gaten houden of ze niet betrapt zijn.

M.: «Als Sky een update doorvoerde, moesten we weten of onze toegang niet verbrand was. We hadden daarom tools gebouwd die in de gaten hielden of alles overeind bleef, en die bijvoorbeeld konden nagaan of er op sociale media niet gespeculeerd werd over een hack. Die systemen stuurden ons dan per sms, Telegram of Signal een bericht. We hadden onszelf voorgenomen om dat elke tien minuten te controleren. Het waren dus geen normale feestdagen. Dat zijn werkdagen van vijftien à zestien uur. Op dat moment leef je echt op adrenaline.»

Het is niet omdat de speurders de Sky-communicatie kunnen ontcijferen, dat ze die ook al mogen lezen. Wat binnenloopt is zo omvangrijk dat de politie eenvoudigweg nog niet in staat is om ermee aan de slag te gaan. Waar eerst beginnen?

Driesen: «Die berichtenstroom is zo groot dat je dat menselijk niet meer verwerkt krijgt. Je hebt technologie nodig. De doos bleef dus nog even toe. Vanaf het moment dat je de doos opent, moet je voorbereid zijn. Je moet ook kunnen reageren op wat je leest: als er een lading cocaïne de haven binnenkomt, moet je tussen kunnen komen zonder dat het hele dossier op straat ligt.»

Elke dag lopen miljoenen berichten binnen. Om de enorme hoeveelheid data inzichtelijk te maken, ontwikkelt het Belgische team een systeem waardoor rechercheurs berichten kunnen lezen en kunnen achterhalen waar de afzender zich bevindt. Die technologie wordt gedeeld met Frankrijk en Nederland.

De Nederlanders focussen zich dan weer op artificiële intelligentie die analyseert welke berichten ertoe doen. Dat gaat niet alleen over drugstransporten, maar ook over personen die gevaar lopen.

M.: «Ieder bericht kreeg een score op basis van hoe belangrijk het was. Dat is ingewikkelder dan het lijkt. Weet je op hoeveel manieren je ‘douane’ kan schrijven? Je kan er zelfs niet zeker van zijn dat het altijd met een d begint. Het systeem moest ook intelligent genoeg zijn om uit de context af te kunnen leiden of het bericht relevant was.»

In de kantoren van de federale gerechtelijke politie moet intussen verbouwd worden. Het Sky-team heeft nood aan een commandocentrum, een ruimte waar ze de datastroom in real time kunnen monitoren. Ook in Brussel, bij Europol, en in de andere partnerlanden worden zulke commandocentra opgetuigd.

M.: «We hebben iets meer dan een maand nodig gehad om alles klaar te zetten. De afspraak was: Antwerpen legt zich toe op drugs en corruptie, Brussel op communicatie waar een threat to life uit blijkt.»

Driesen: «Stel het je vooral niet te spectaculair voor, die commandokamer. Het is nog altijd de Belgische federale politie, he. Het is een gewone kamer, maar dan met heel veel schermen.»

De hele operatie trok onvermijdelijk de aandacht van collega’s. Iedereen zag dat er iets op til was, dat er nogal veel apparatuur versjouwd werd, en dat er vooral heel erg geheimzinnig gedaan werd. Uit vrees voor lekken werd enkel wie van de zaak moest weten, op de hoogte gebracht. Voor al de rest was de commandokamer verboden terrein. Collega’s die vragen stelden, kregen een standaardantwoord: ‘geen commentaar’.

Op maandag 15 februari is de voorbereiding rond. Alles staat klaar om de gesprekken van de criminele onderwereld live mee te lezen.

Doos gaat open

Zodra de doos open gaat, lezen in ons land 120 mensen de binnenlopende communicatie, van de vroege ochtend tot de late avond. In Antwerpen wordt gewerkt in shiften van twee dagen, in vier ploegen van 20 mensen. De druk, ook psychologisch, is zo groot dat enkelen er in de volgende weken fysiek onderdoor zullen gaan

Driesen: «Het was erger dan we gedacht hadden. Er waren berichten over ontvoeringen en martelingen, foto’s van liquidaties. Op afbeeldingen van rekenmachines zagen we enorme bedragen die verschuldigd waren. Honderdduizenden euro’s, soms meer dan een miljoen. In de volgende berichten maakten ze dan afspraken over money drops. Het is allemaal heel duidelijk. Dit zijn criminelen onder elkaar. Je kan niet zeggen dat dat geld moet dienen voor een of ander pensioenfeestje.»

Onthutsend is ook hoe makkelijk het voor criminelen blijkt om gevoelige informatie te pakken te krijgen. Het team onderschept berichten waarbij mensen met toegang tot afgeschermde databanken, zoals het rijksregister of de voertuigendatabank, voor een flink bedrag informatie opzoeken.

Driesen: «Dan wordt bijvoorbeeld het adres gevraagd van een persoon waarmee iemand nog een eitje te pellen heeft. Ik weet niet of de personen die de informatie doorgeven goed beseffen welke risico’s ze op dat moment genereren.»

Nog steeds moeten de speurders voortdurend in de gaten houden of niemand lucht krijgt van de hack. Hoe langer ze meelezen, hoe moeilijker dat wordt. Er worden ontvoeringen verijdeld, geldtransporten onderschept, containers vol coke in beslag genomen. Het is een kwestie van tijd voor iemand onraad ruikt. In de Sky-berichten lezen de speurders hoe sommige criminelen achterdochtig worden en suggereren om over te stappen naar andere cryptotelefoons.

M.: «Op Twitter verschenen berichten dat er plots wel heel veel partijen drugs onderschept werden. En dan werd wel eens gesuggereerd, door journalisten bijvoorbeeld: zouden de telefoons van de onderwereld gehackt zijn?»

Drie weken lang worden de Sky-berichten op de voet gevolgd. Relatief kort, maar het risico op verbranding wordt dag na dag groter. Bovendien oordeelt de onderzoeksrechter dat er voldoende materiaal is verzameld voor het doel van het onderzoek: aantonen of Sky al dan niet een criminele organisatie is.

200 huiszoekingen, 1.625 agenten

Federaal procureur Van Leeuw trekt op 8 maart naar de Wetstraat 16, de ambtswoning van de premier. Hij vertelt De Croo, Van Quickenborne en Verlinden: morgen is het zover.

Op dinsdagochtend 9 maart start een immens politieoptreden. In zes uur tijd worden over het hele land meer dan 200 huiszoekingen afgewerkt, allemaal op basis van de Sky-hack. Liefst 1.625 agenten worden gemobiliseerd – om lekken te voorkomen heeft het gros van hen tot op het laatste moment geen flauw benul van de ware toedracht van de operatie. Sommigen krijgen te horen dat ze moeten uitrukken voor de fictieve operatie-Louvre, een politieactie na een kunstroof in Bergen. Dat lekt wél: in Franstalige media wordt die ochtend al bericht over operatie-Louvre.

Het politieoptreden is een doorslaand succes. Er volgen tientallen arrestaties van vermoedelijke leden van de Sky-organisatie, luxewagens en geld worden in beslag genomen. Toch is het tot op vandaag moeilijk te vatten hoeveel de kraak precies zal opleveren. Bijna een half miljard berichten zijn op dit moment gedecrypteerd. Elke week komen er enkele tientallen miljoenen bij, allemaal berichten van voor er live meegelezen werd. Ter vergelijking: het totale volume van de Encrochat-hack was ‘amper’ 25 miljoen berichten. Politie en justitie zijn nog jaren zoet met de onderzoeken die moeten gebeuren.

Driesen: «Het gaat over veel meer dan drugs. Alle Antwerpse afdelingen moeten meewerken. Ik ga ook speurders van mijn afdeling terreur hierop moeten inzetten; 30 procent van de mensen die we in de gaten moeten houden, zit nochtans wel in Antwerpen. Er staan vandaag 50 vacatures open die zo snel ingevuld moeten worden.»

Met het onderzoek is in België politiegeschiedenis geschreven. Al zijn experts het er ook over eens dat het ontwrichtende effect hooguit tijdelijk zal zijn. Nu al is duidelijk dat criminelen gewoon overstappen naar andere cryptotelefoons, of versleutelde berichtendiensten als Signal. En veel hoge piefen zitten nog steeds veilig in Dubai, waar ze niets moeten vrezen.

Voor M. is het weliswaar de kraak van zijn carrière. Opeens hing hij elke dag met de federale procureur aan de lijn, en was zijn naam gekend binnen de hoogste kringen van politie en justitie.

M.: «De dag na de tussenkomst heb ik telefoon gekregen uit twintig verschillende landen, allemaal om me te feliciteren. Dan besef je: ok, dit is wel heel groot. Zoiets teweegbrengen, dat is onbeschrijflijk.»

Driesen: «Er is in België geen voorgaande. Er is een tijd voor en een tijd na Sky. Door corona hebben we het nog niet eens kunnen vieren. Dat is heel jammer.»

M.: «Het is wel gek. Twee, drie jaar heb je dan in het geheim gewerkt met je eigen team. Zelfs in dit gebouw wisten de meeste mensen niet waar we mee bezig waren. En nu weet de hele wereld het.»

(DM)