• A la recherche d’Arjen Kamphuis, le hackeur évanoui dans la nature
    https://www.lemonde.fr/long-format/article/2018/10/25/a-la-recherche-d-arjen-kamphuis-le-hackeur-evanoui-dans-la-nature_5374197_53

    Cet expert en informatique néerlandais de 47 ans a disparu dans de mystérieuses conditions en Norvège. Depuis, ses amis s’activent pour le retrouver.


    Le 31 août, l’organisation WikiLeaks publie, à l’attention de ses cinq millions et demi d’abonnés sur Twitter, un message inquiétant : « Associé de Julian Assange et auteur du livre La Sécurité de l’information pour les journalistes, Arjen Kamphuis a disparu, selon ses amis et collègues. Il a été vu pour la dernière fois (…) le 20 août, à Bodo, en Norvège. »

    Aussitôt, des centaines de médias de tous les pays répercutent l’information brute. La plupart ne cherchent pas à en savoir davantage sur Arjen Kamphuis, 47 ans, et le présentent, peut-être un peu vite, comme un proche collaborateur du lanceur d’alerte Julian Assange, voire comme le « cofondateur », avec ce dernier, de WikiLeaks, l’organisation responsable de la divulgation, depuis 2010, de millions de documents confidentiels dérobés à diverses administrations américaines.

    Sur le Net, la machine complotiste se déchaîne : si un proche d’Assange s’est volatilisé, il a forcément été enlevé par les services secrets des Etats-Unis. D’autres préfèrent un scénario encore plus tortueux : Arjen Kamphuis serait, en réalité, en mission pour le compte de ce même Assange, qui essaierait de quitter secrètement l’ambassade d’Equateur à Londres, où il est réfugié depuis six ans, et de se faire exfiltrer vers la Russie, via la Norvège…

    Près de deux mois se sont écoulés, et Arjen Kamphuis demeure introuvable. Mais on en sait désormais un peu plus à son sujet. Personnage hors du commun, entouré d’amis qui le sont tout autant, ce Néerlandais vivant à Amsterdam est un informaticien expert en sécurité des réseaux. Jusqu’au 20 août, il travaillait et voyageait beaucoup, menant de front deux occupations très prenantes : il était à la fois responsable d’une start-up de big data baptisée « PGK » (Pretty Good Knowledge), et militant de l’Internet libre, engagé dans le combat contre la surveillance de masse exercée par les Etats et les géants du Net.

    Du fétichisme à la politique

    Passionné par la vie des médias, il a orienté son militantisme vers les journalistes, et s’est donné pour mission de les convaincre de mieux se protéger contre la surveillance – étatique ou privée – en sécurisant leurs ordinateurs et leurs téléphones et en chiffrant leurs connexions et leurs dossiers.

    Arjen Kamphuis participe ainsi à des sessions de formation à « l’infosec » (la sécurité de l’information) pour les journalistes, notamment dans des pays où la liberté de la presse est malmenée. Sur son compte Twitter, il avait publié, le 1er mai, une photo de lui en train de taper sur un ordinateur en tenue de reporter de guerre, avec casque, gilet pare-balles et lunettes noires. A ses pieds, une valise frappée de deux inscriptions : « Appareil surveillé par la NSA [Agence nationale de la sécurité américaine] » et « Je suis avec WikiLeaks ».

    Il ne précise pas où il est, mais a rédigé ce commentaire : « Quand les bits rencontrent les balles : sécurité de l’information pour les journalistes opérant dans des environnements à haut risque. Les fuites de données peuvent avoir des conséquences pour les gens travaillant en zone de guerre. Très fier d’aider des gens, parmi les plus courageux, à être un peu plus en sécurité. »

    Avant WikiLeaks, sa disparition a été annoncée sur Twitter, le 31 août, par l’une de ses proches, Linde van de Leest, 32 ans, qui se fait appeler Ancilla (« servante », en latin) : « Mon meilleur ami a disparu à Bodo, Norvège. Ses amis, ses collègues et sa famille sont très, très inquiets. S’il vous plaît, partagez. » Aussitôt, son appel est largement repris sur les réseaux sociaux. Il faut dire qu’Ancilla est une célébrité : pendant dix ans, elle fut modèle photo pour divers magazines, dont Playboy et des titres confidentiels de la scène fétichiste.

    En 2012, elle opère une reconversion radicale en devenant militante de la protection de la vie privée sur Internet et chroniqueuse dans plusieurs journaux. Dans le même temps, elle s’impose à la direction du petit Parti pirate des Pays-Bas, engagé dans la lutte pour la liberté du Net et la protection de la vie privée des utilisateurs. Aux législatives de 2017, elle est tête de liste de cette formation, mais obtient à peine 0,34 % des voix. Elle s’éloigne alors de la politique pour devenir cadre commerciale chez StartPage, un moteur de recherche alternatif.

    WikiLeaks entretient le flou

    Interrogée par Le Monde, Ancilla se présente comme une intime d’Arjen Kamphuis – « Nous partons souvent en vacances ensemble, et je suis la seule à posséder un double de ses clés » –, mais elle tient à minimiser les liens de celui-ci avec WikiLeaks : « Ils ont été exagérés par les médias. Comme beaucoup de gens du mouvement des logiciels libres et des hackeurs, Arjen a rencontré Assange avant qu’il devienne célèbre. Par la suite, il l’a invité à des événements aux Pays-Bas, il est allé lui rendre visite à Londres, à l’ambassade d’Equateur, et a rendu des services ponctuels à WikiLeaks pour la sécurité de ses journalistes, mais rien de plus. » Elle affirme que d’autres amis communs ont tous fait le même constat.

    « Je ne pouvais pas imaginer un scénario dans lequel il aurait supprimé l’application Signal »
    Jos Weijers, responsable du club de hackeurs Hack42

    En revanche, WikiLeaks entretient le doute sur la nature de son « association » avec Arjen Kamphuis. Le Britannique Joseph Farrell, qui fut longtemps l’un des principaux collaborateurs de Julian Assange et demeure proche de lui, explique en souriant : « Nous ne livrons pas d’informations sur nos membres et associés, mais quelqu’un peut très bien travailler pour WikiLeaks sans que son entourage soit au courant. Cela a été mon cas pendant longtemps. »

    Pour Ancilla, cette disparition est un mystère absolu, dont la chronologie, mille fois reprise, ne cesse d’intriguer. En juillet, quand il annonce qu’il va partir en vacances seul au Spitzberg, l’île de l’extrême nord de la Norvège, ses proches ne s’étonnent pas, car Arjen Kamphuis est un passionné de nature et de randonnée. Avant son départ, il achète, sans prévenir personne, un kayak pliable (2 000 euros), qu’il emporte avec lui en Norvège, alors qu’il n’a jamais pratiqué ce sport. D’après Ancilla, il semblait heureux : « Il avait des tas de projets pour la rentrée, professionnels et privés. Comme je suis mère célibataire, il voulait m’aider à m’occuper de mon bébé de 9 mois – dont le deuxième prénom est Arjen. »

    Club de hackeurs

    Le 7 août, elle lui envoie un texte sur Signal, une messagerie chiffrée très utilisée par les geeks, pour lui souhaiter de bonnes vacances. Il la remercie en trois mots. Puis, plus de nouvelles : « Le 9, je lui envoie un nouveau message, mais il est refusé. Une alerte s’est affichée : “Ce numéro n’est pas enregistré.” Comme si Signal avait été désinstallé de son téléphone. »

    Les jours suivants, elle réessaie cinq fois, sans succès. Le 16, elle est contactée par un autre ami, Jos Weijers. Lui aussi a constaté qu’Arjen Kamphuis n’apparaît plus sur Signal : « C’était incompréhensible, témoigne-t-il. Je ne pouvais pas imaginer un scénario dans lequel il aurait supprimé l’application. » Ce jour-là, la jeune femme répond à Jos par une blague : « Il a peut-être été mangé par un ours polaire ? RIP. »

    Jos Weijers, un quadragénaire grand et costaud demeurant à Arnhem, dans l’est des Pays-Bas, est lui aussi un personnage original. Le jour, il travaille comme informaticien pour une compagnie d’électricité, chargé de la sécurité des serveurs. Le soir et le week-end, il est responsable de Hack42, un hackerspace (club de hackeurs) installé en plein bois, dans un ancien couvent d’abord reconverti en bureau administratif de l’armée et aujourd’hui désaffecté : « Il appartient toujours à l’armée, explique-t-il, nous louons juste deux étages. »

    Hack42, qui compte une cinquantaine de membres et reçoit de nombreux visiteurs, propose divers équipements : des salles informatiques, des ateliers d’électronique, de ferronnerie, de serrurerie et de menuiserie, un studio photo, des imprimantes 3D, des découpeuses lasers… « Arjen aimait cet endroit, affirme Jos, il venait huit ou dix fois par an, alors que c’est à 100 kilomètres de chez lui. Parfois, il restait plusieurs jours. » Récemment, ils avaient travaillé ensemble sur un projet ambitieux : « Nous voulions racheter l’ancienne prison d’Arnhem pour la transformer en hackerspace et en résidence pour des projets alternatifs et artistiques. Ça n’a pas marché, c’est dommage, le symbole aurait été fort. »

    Personnages hors normes

    L’absence d’Arjen Kamphuis est aussi remarquée chez PGK, la start-up dont il est le cofondateur, installée dans un immeuble moderne et confortable de la banlieue d’Amsterdam. Alors qu’il devait rentrer de vacances le 23 août, il ne reparaît pas, manquant plusieurs rendez-vous au cours de la semaine, ce qui surprend ses collègues, car il a la réputation d’être fiable.

    Parmi ses partenaires au sein de PGK, on trouve deux autres personnages hors normes, des Américains : Bill Binney, mathématicien, et Kirk Wiebe, linguiste, tous deux anciens employés de la NSA. Ayant découvert que celle-ci mettait en place des systèmes de surveillance de masse très intrusifs visant le monde entier, ils décidèrent, dès 2001, de démissionner en signe de protestation, puis d’alerter les médias et l’opinion. Cette initiative leur valut des années de harcèlement judiciaire et policier, mais, à présent, ces soucis semblent lointains.

    Arjen Kamphuis a rencontré Bill Binney à l’université d’Oxford, en 2014, lors d’une conférence organisée par des associations de lanceurs d’alerte issus des agences de renseignement de divers pays. A l’époque, Kamphuis vivait en Allemagne avec une Anglaise, Annie Machon, ancienne employée du service de renseignement britannique MI5. En 1997, elle démissionna et entreprit de dénoncer publiquement plusieurs opérations clandestines du MI5, dont l’une visait, selon elle, à faire assassiner le dirigeant libyen Mouammar Kadhafi.

    Après avoir sympathisé lors de conférences, Arjen, Bill le mathématicien et Kirk le linguiste créent ensemble PGK, start-up de « data mining éthique », avec l’aide d’un homme d’affaires néerlandais et d’un informaticien ami de longue date, Maurice Verheesen. Grâce à un système mis au point par les deux Américains, dans le prolongement de leurs travaux à la NSA, PGK propose aux entreprises et aux administrations d’exploiter les données personnelles de leurs clients, tout en respectant la vie privée et l’anonymat de ces derniers. Les affaires marchent et, désormais, Bill et Kirk passent un mois sur deux aux Pays-Bas.

    Destination secrète

    Le 30 août, la disparition d’Arjen Kamphuis devient franchement inquiétante. Alors qu’il est attendu le lendemain en Angleterre pour un rassemblement de hackeurs, il ne donne toujours pas signe de vie. Ses amis préviennent alors la police néerlandaise, qui contacte son homologue norvégienne.

    De son côté, Ancilla mène sa propre enquête : « J’ai appelé les hôtels de Spitzberg, raconte la jeune femme. Certains ne voulaient pas me renseigner, pour protéger la vie privée de leurs clients, je ne peux pas leur en vouloir. Finalement, l’un d’entre eux m’a dit qu’Arjen avait fait une réservation en juillet, mais qu’il l’avait annulée. »

    En consultant son compte sur le site de réservation Booking.com, la police et ses amis découvrent qu’il ne s’est jamais rendu au Spitzberg, mais qu’entre le 10 et le 20 août il a séjourné dans deux hôtels de la ville norvégienne de Bodo, une destination dont il n’avait parlé à personne. Bodo, 50 000 habitants, est un port industriel moderne du Nord, où les touristes passent rarement plus d’un jour ou deux. Arjen Kamphuis avait aussi acheté un billet d’avion pour rentrer à Amsterdam le 22 août, au départ de Trondheim, à 700 kilomètres au sud de Bodo. Il n’a pas pris cet avion, et rien n’indique qu’il ait mis les pieds à Trondheim.

    Début septembre, un autre de ses amis, souhaitant rester anonyme, se rend à Bodo pour enquêter et distribuer des affiches, afin d’alerter les habitants. On lui confirme que le Néerlandais a quitté son hôtel le 20 août, avec ses bagages et son kayak, pesant près de 15 kilos, rangé dans un sac. En revanche, nul ne se souvient de l’avoir vu ailleurs en ville.

    Dans un premier temps, la police norvégienne privilégie la piste de l’accident de randonnée. Le 11 septembre, un pêcheur naviguant dans le fjord de Skjerstad, un bras de mer étroit et profond s’étendant sur 80 kilomètres, à l’est de Bodo, trouve un sac contenant le passeport du disparu, sa carte bancaire et de l’argent. Le même jour, on découvre le fameux kayak, posé à terre, sur une rive du fjord, puis sa pagaie. En revanche, ses bagages sont introuvables, et aucune réservation à son nom n’a été prise dans un hôtel ou un camping des alentours.

    « Pas d’explication satisfaisante »

    Les médias locaux sont surpris, car les eaux du fjord sont agitées et dangereuses : personne ici ne se risquerait à les affronter à bord d’une embarcation aussi frêle. En outre, à cette période, le temps était déjà très mauvais. La police et les gardes-côtes quadrillent le fjord et les montagnes avoisinantes, sans résultat. Deux policiers néerlandais arrivent en renfort.

    Parallèlement, les investigations révèlent que le 20 août, jour de sa disparition, Arjen Kamphuis a pris le train pour la ville de Rognan, située au fond du fjord de Skjerstad, à environ 85 kilomètres de Bodo. Le contrôleur se souvient de ce passager néerlandais dont les bagages volumineux encombraient le couloir. En outre, son téléphone a borné dans la région le même jour.

    « Sa présence à Fauske ne peut pas être une coïncidence. Cela dit, je n’ai pas d’explication satisfaisante »,
    Ancilla, tête de liste du Parti pirate néerlandais

    Ses amis, qui ont du mal à croire à la thèse de l’accident, ouvrent une autre piste, plus mystérieuse. Ils notent que le kayak a été retrouvé près de la ville de Fauske, face à une presqu’île montagneuse pour le moins particulière, puisqu’elle abrite une station norvégienne d’interception de signaux satellites et de détection des signatures électroniques émises par les avions et les navires. Cette station, qui appartient aux services de renseignement norvégiens et travaille peut-être pour l’OTAN, n’est pas clandestine – les trois dômes blancs contenant les appareils d’interception sont visibles de loin –, mais la discrétion y est de mise sur la nature exacte de ses activités.

    Sur la même rive du fjord, à Reitan, entre Bodo et Fauske, se trouve une autre installation stratégique, cachée dans une galerie souterraine : le QG interarmes des forces armées norvégiennes, doté notamment d’un centre de cyberdéfense.

    Pour Jos Weijers, le passage d’Arjen Kamphuis dans ce secteur ne doit rien au hasard : « Ces sites représentent tout ce qui le passionne. Au minimum, il a dû s’arrêter et prendre une photo des dômes, pour illustrer ses conférences sur la surveillance électronique. » Ancilla est tout aussi catégorique : « Sa présence à Fauske ne peut pas être une coïncidence. Cela dit, je n’ai pas d’explication satisfaisante. »

    Téléphone à grande vitesse

    Autre indice troublant déniché par les proches du disparu : ils se sont procuré des photos du kayak, prises par la police, et les ont montrées au vendeur, à Amsterdam. Or, celui-ci est formel : l’embarcation a été mal assemblée, des pièces importantes sont manquantes, elle ne pourrait pas naviguer correctement en l’état. Jos Weijers est persuadé qu’il n’a pas été monté par Arjen Kamphuis : « Il est habile de ses mains et méticuleux, jamais il n’aurait fait un travail aussi bâclé. »

    Le 20 septembre, les recherches de terrain sont abandonnées mais, entre-temps, une nouvelle piste est apparue. On découvre avec retard que, le 30 août, soit dix jours après la disparition du quadragénaire, son téléphone s’est connecté à trois relais, entre les villes de Vikesa et Ualand, dans le sud de la Norvège, c’est-à-dire à 1 600 kilomètres de Bodo.

    Le téléphone « circulait » à grande vitesse – il se trouvait peut-être dans un train. Une fois allumé, l’appareil a chargé les SMS et messages en attente. Puis, au bout de 20 minutes, on y a inséré une carte SIM allemande – ce modèle peut contenir deux cartes. Ensuite, il a de nouveau disparu.

    Pour l’entourage d’Arjen Kamphuis, cette piste du téléphone est la plus prometteuse, car ce sont tous des geeks, plus à l’aise sur les réseaux informatiques que dans les fjords sauvages.

    Ancilla fait remarquer que, pour recevoir les SMS, un téléphone doit être débloqué avec le code PIN – une raison d’espérer que, le 30 août, son ami était dans le sud de la Norvège, et non pas au fond du fjord où le kayak a été retrouvé.

    Plus prudent, Jos Weijers regrette simplement que la police refuse de communiquer les données techniques du téléphone, alors qu’elles pourraient être très utiles à des hackeurs aguerris : « Hack42 est connu dans le milieu, assure-t-il, nous avons de bons contacts à travers l’Europe. Si nous avions le numéro de la carte SIM allemande, ou le code d’identification de l’appareil, nous pourrions peut-être le localiser. Mais on ne nous dit rien, nous ne savons même pas s’il avait un ou plusieurs téléphones. »

    Lui aussi est troublé par le déblocage de la carte SIM : « Si le possesseur était un simple voleur, comment aurait-il pu l’activer sans les codes secrets ? Les appareils d’Arjen sont très bien protégés, c’est son métier. Et si le téléphone était entre les mains d’un expert capable de le forcer, pourquoi se serait-il laissé repérer comme un débutant ? »

    « Théorie farfelue »

    L’enquête s’est même étendue au Danemark, proche de la région de Norvège où le téléphone a été repéré. A la suite des appels à témoin diffusés sur des chaînes de télévision, deux personnes se sont manifestées, affirmant qu’elles avaient aperçu Arjen Kamphuis au Danemark. La première est une touriste hollandaise de passage à Ribe, une petite ville de la côte ouest de la péninsule danoise. Ancilla a étudié son témoignage : « Elle dit l’avoir vu deux fois en deux jours. Selon elle, Il était installé dehors, sous un auvent de toile, avec un iPhone 6 et un chargeur solaire qu’elle a décrit précisément – nous avons retrouvé le modèle. »

    Aussitôt, Ancilla fait passer un avis de recherche sur Facebook, sous forme de publicité payante ciblée sur la région de Ribe : « Le lendemain, j’ai été contactée par un homme habitant à Esbjerg, à 30 kilomètres de Ribe. Je l’ai appelé, il est certain d’avoir croisé Arjen en compagnie de deux hommes. Ils discutaient en allemand et en néerlandais. » Cela dit, il est impossible d’évaluer la fiabilité de ces témoignages : Arjen Kamphuis est blond, de type nordique et de taille moyenne, un signalement banal dans cette partie du monde.

    A ce stade, personne n’arrive à imaginer pourquoi il aurait organisé un voyage clandestin, de son propre chef ou pour fuir un danger. Ses collègues Kirk Wiebe, l’ancien de la NSA et Maurice Verheesen, l’ami informaticien, refusent d’admettre que sa disparition soit liée aux activités de PGK : « Cela n’aurait aucun sens, notre société travaille au grand jour, avec des clients commerciaux très classiques. »

    En revanche, ses proches parlent moins volontiers de l’autre activité d’Arjen Kamphuis : les stages de formation à la sécurité informatique pour journalistes et militants d’ONG. Se référant à la photo publiée par Kamphuis lui-même sur Twitter, Maurice Verheesen explique que ce dernier effectuait parfois des « missions secrètes dans des pays dangereux », puis ajoute qu’il ne peut pas en parler, de peur de mettre des gens en danger. A la réflexion, il imagine un seul scénario : « S’il a été enlevé, ce ne peut être que par des gens qui voudraient en savoir plus sur la communauté internationale des hackeurs et des experts indépendants en sécurité informatique. Mais cette théorie est farfelue. »

    « Cryptoparty »

    De son côté, Jos Weijers croit savoir qu’Arjen Kamphuis avait séjourné à plusieurs reprises en Indonésie : « La dernière fois, c’était en avril, j’ai oublié dans quelle île. Il avait été envoyé là-bas par l’agence de presse Reuters, qui voulait former ses correspondants locaux, leur apprendre à échapper à la surveillance électronique des autorités. Je n’en sais pas plus, pour des raisons évidentes. Ces sessions sont secrètes, on ne va pas les annoncer dans les médias ni les raconter sur Twitter. »

    M. Weijers s’est rendu avec Arjen Kamphuis à Tirana, en Albanie, en mai. Tous deux étaient invités à une conférence sur le logiciel libre et la liberté d’expression sur le Net, organisée par une association locale baptisée « Oscal » . Sur le site de cette dernière, il est précisé que Kamphuis aurait dû revenir à Tirana, le 20 octobre, pour participer à une « cryptoparty » – un événement festif pendant lequel des hackeurs expliquent au grand public comment sécuriser un PC et un téléphone, chiffrer un message, anonymiser les navigations sur le Net…

    Début octobre, la police néerlandaise a accepté de rencontrer Ancilla pour faire un bilan complet de l’enquête : « Malheureusement, toutes leurs pistes sont des culs-de-sac, estime la jeune femme. Nous devons sérieusement envisager qu’Arjen ne soit jamais retrouvé. »

    Malgré tout, elle refuse de désespérer : « Tous les scénarios sont encore possibles, car les faits connus sont contradictoires (…), beaucoup de questions nous intriguent toujours. » Abattus et impuissants, les amis et collègues d’Arjen Kamphuis ont repris le cours de leur vie, en espérant un miracle.