Nouvelles attaques du crypto-rançonneur Locky via Facebook et LinkedIn

Je n’avais pas parlé du virus crypto-rançonneur Locky depuis le 27 juin dernier et toutes les informations publiées en français à son sujet semblaient également, tout comme sa fiche française sur Wikipédia, s’être arrêtées là, quoiqu’il ait bien continué à faire des siennes dont la presse étrangère rendait compte à ses lecteurs.

Or, voilà qu’on en reparle dans des publications françaises depuis l’arrestation à Strasbourg et Marseille de terroristes préparant une ou plusieurs nouvelles attaques, apparemment pour le 1er décembre 2016.

Il s’invite sur Facebook, nous dit-on depuis le 22 novembre. Certes, mais ce n’est pas nouveau, les faits étaient connus depuis début septembre.

Par ailleurs, Locky a aussi fait sa rentrée de septembre sous la nouvelle forme d’Odin, après celle de Zepto apparue au début de l’été.

Je rappelle que de nombreux indices m’avaient amenée très tôt à lier tous les ravages de ce virus aux nouveaux besoins d’argent du NPA en prévision de ses campagnes en tous genres jusqu’à la présidentielle de 2017, y compris, bien entendu, toutes celles plus ou moins souterraines ou sournoises dont le but est d’obtenir coûte que coûte le silence de ses victimes.

 

http://www.silicon.fr/ransomware-locky-sur-facebook-163219.html

Le ransomware Locky s’invite sur Facebook

 

 

Nouvelles attaques du crypto-rançonneur Locky via Facebook et LinkedIn dans AC ! Brest ransomware-data-locky-684x513

 

Des chercheurs ont découvert une attaque reposant sur la messagerie instantanée de Facebook pour diffuser le célèbre ransomware Locky.

Les campagnes de ransomwares ne faiblissent pas et testent de nouveaux vecteurs de propagation. Bart Blaze, chercheur en malware, a été sollicité par un ami qui a reçu une image « étrange » sur son compte Facebook. Il s’agissait d’un spam utilisant le chat de Facebook pour diffuser une image (au format .svg) intégrant un outil de téléchargement de malware nommé Nemucod. Un premier point à souligner est que l’image est capable de passer sous les radars des filtres anti-spam de Facebook.

L’utilisation de fichiers SVG (Scalable Vector Graphics) est importante. SVG est basé sur XML, ce qui signifie qu’un pirate peut intégrer n’importe quel contenu, comme du JavaScript. Dans ce cas-là, l’analyse du code a montré qu’il s’agissait bel et bien de JavaScript.

Redirigé vers une fausse page YouTube

En cliquant sur l’image, l’internaute est redirigé sur une page qui ressemble à YouTube. Une fois le site téléchargé, l’utilisateur est invité à télécharger à un codec pour lire la vidéo. Si celui-ci, présenté comme une extension de Chrome, est installé, alors Nemucod débarque et Locky aussi. Le rançongiciel peut ensuite à sa guise chiffrer les fichiers de l’ordinateur et réclamer de l’argent (habituellement en bitcoin) à la victime.

Bart Blaze conseille donc de se méfier des images envoyées notamment par des connaissances, « surtout quand il n’y a que l’image dans le message ». Fraser Kyne, directeur technique chez Bromium, se veut plus inquiétant en soulignant le fait que « pas mal de personne regarde Facebook au bureau, il y a alors un grand risque pour la diffusion du malware au sein de l’entreprise ». Locky a été découvert en février 2016 par des équipes de Palo Alto Networks et a impacté beaucoup d’entreprises à travers le monde.

A lire aussi

Ransomware : Locky active le mode pilotage automatique

Une variante de Locky se fait passer pour un fichier système Windows

Photo credit: portalgda via VisualHunt / CC BY-NC-SA

 

 

https://www.globalsecuritymag.fr/ImageGate-Check-Point-decouvre-une,20161124,67207.html

ImageGate : Check Point découvre une nouvelle méthode de diffusion de logiciels malveillants sur Facebook ou encore LindedIn via des images

novembre 2016 par Check Point

Check Point® Software Technologies Ltd. a annoncé que ses chercheurs en sécurité ont identifié un nouveau vecteur d’attaque, nommé ImageGate, qui intègre des logiciels malveillants dans des fichiers image et des fichiers graphiques. Ils ont également découvert la méthode d’exécution du code malveillant dans ces images via des applications de réseaux sociaux tels que Facebook et LinkedIn.

Selon les études effectuées, les agresseurs ont développé une nouvelle façon d’intégrer du code malveillant dans un fichier image et le télécharger sur les sites web de réseaux sociaux. Les agresseurs exploitent un défaut de configuration dans l’infrastructure des réseaux sociaux pour forcer délibérément leurs victimes à télécharger le fichier image. L’appareil de l’utilisateur est infecté dès qu’il clique sur le fichier téléchargé.

Depuis ses trois derniers jours, le secteur de la sécurité suit de très près la propagation massive du logiciel rançonneur Locky via les réseaux sociaux, en particulier dans sa campagne Facebook. Les chercheurs de Check Point sont convaincus que la nouvelle technique ImageGate révèle comment cette campagne a été rendue possible, une question qui est restée sans réponse jusqu’à présent.

Ils ont pu ainsi découvrir le vecteur d’attaque qui affecte les principaux sites web et réseaux sociaux dans le monde entier, y compris Facebook et LinkedIn. Check Point a informé Facebook et LinkedIn du vecteur d’attaque dès le début du mois de septembre.

Démonstration : https://youtu.be/sGlrLFo43pY

Dans le cas du logiciel rançonneur Locky, une fois que les utilisateurs téléchargent et ouvrent le fichier malveillant qu’ils reçoivent, tous les fichiers présents sur leur appareil personnel sont automatiquement chiffrés et ne peuvent être récupérés qu’après paiement de la rançon. Le secteur estime que la campagne est toujours active et fait de nouvelles victimes chaque jour.

« À mesure que les gens passent plus du temps sur les sites de réseaux sociaux, les pirates recherchent un moyen d’entrer sur ces plates-formes, » déclare Oded Vanunu, Head of Check Point’s Products Vulnerability Research. « Les cybercriminels comprennent que ces sites sont généralement mis en liste blanche, et pour cette raison, ils sont continuellement à la recherche de nouvelles techniques pour exploiter les réseaux sociaux à des fins malveillantes. Afin de protéger les utilisateurs contre les menaces les plus avancées, les chercheurs de Check Point essaient d’identifier les prochaines cibles des agresseurs. »

Comment rester protégé ? Check Point recommande les mesures de prévention suivantes :

1. Si vous avez cliqué sur une image et que votre navigateur commence à télécharger un fichier, ne l’ouvrez pas. Les sites web de réseaux sociaux devraient afficher des images sans avoir à télécharger de fichier.

2. N’ouvrez pas de fichier image comportant une extension inhabituelle (telle que SVG, JS ou HTA).

Une description technique détaillée du vecteur d’attaque sera publiée par Check Point lorsque la vulnérabilité aura été corrigée dans les principaux sites concernés, afin d’empêcher les agresseurs de tirer profit de ces informations.

 

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-821010-ransomware-images-transmises-facebook.html

le vendredi 25 novembre 2016

 

Un ransomware dans des images transmises par Facebook

 

Un nouveau risque pour la sécurité des ordinateurs du monde entier a été identifié par la firme spécialisée dans la sécurité informatique CheckPoint. Une nouvelle forme d’attaque au ransomware a vu le jour sur les réseaux sociaux.

Les pirates auraient trouvé le moyen de propager un ransomware, notamment le célèbre Locky, via un simple fichier image qui est envoyé par Facebook et LinkedIn.

Un fichier image qui conduit au téléchargement de Locky

Selon l’entreprise spécialisée CheckPoint, les pirates auraient réussi à contourner les sécurités de Facebook et LinkedIn en maquillant un logiciel malveillant, en l’occurrence le ransomware (ou rançongiciel en français) Locky, dans un fichier image. Ainsi faisant, le fichier peut être partagé sur Facebook et LinkedIn sans que les systèmes de sécurité et antivirus des deux réseaux sociaux ne le bloquent.

Le fichier a toutefois une particularité : il s’agit d’un fichier en .svg ce qui, déjà, devrait mettre la puce à l’oreille de l’utilisateur qui le reçoit. Les fichiers .svg sont assez rares puisqu’ils servent pour le dessin vectoriel. CheckPoint signale également que cette attaque est une version améliorée d’une attaque déjà connue.

 

photo locky facebook
Sur Messenger, le fichier en question, tel qu’il apparaîtrait

 

Locky téléchargé dès l’ouverture du fichier ?

L’attaque consistant à télécharger le ransomware Locky via un fichier image était déjà connue, mais la première version renvoyait, une fois l’image ouverte, vers un site qui montrait une vidéo et qui demandait de télécharger un logiciel pour la voir. Ce logiciel était, en réalité, Locky.

Désormais, selon CheckPoint, les pirates ont trouvé un moyen d’aller plus vite et d’être plus dangereux. Il suffit d’ouvrir le fichier .svg infecté pour télécharger directement Locky sur l’ordinateur. Aucune redirection n’est nécessaire.

Pour éviter de se faire infecter, il suffit de ne pas télécharger de fichier .svg inconnu et, surtout, de ne pas l’ouvrir. Si vous l’avez téléchargé et pas encore ouvert, supprimez-le, faites un scan antivirus et changez vos mots de passe pour plus de sécurité.

Comparatif antivirus : quel antivirus choisir ?

Modifié le 25/11/2016 à 11h39

 

 

http://www.zdnet.fr/actualites/facebook-messenger-encore-un-malware-qui-circule-via-une-image-39845230.htm

Facebook Messenger : encore un malware qui circule via une image

 

Sécurité : Selon l’éditeur de sécurité Check Point, le virus se diffuse également via LinkedIn. Une fois téléchargé, il active un ransomware sur le poste infecté.

La rédaction de ZDNet.fr

Par La rédaction de ZDNet.fr | Samedi 26 Novembre 2016

Une nouvelle fois, le très populaire Facebook Messenger est utilisé comme vecteur pour diffuser une attaque. L’éditeur Check Point met en effet en garde les utilisateurs de l’application mais aussi de LinkedIn également exploité par les pirates.

La méthode est classique : l’envoi d’une image en .svg qui renvoie vers une vidéo nécessitant le téléchargement d’une pseudo-extension piégée. L’éditeur précise que la contamination peut également se faire par simple téléchargement de l’image. Une fois téléchargé, elle active un ransomware (le fameux Locky) sur le poste infecté.

facebook-millenials-620 dans Action Directe

On ne sait pas encore combien de personnes ont pu être touchés par cette attaque mais CheckPont précise que Locky est impliqué dans 5% des attaques constatées à travers le monde sur le mois d’octobre. Facebook est au courant de la menace depuis septembre mais visiblement, l’attaque a toujours cours.

« À mesure que les gens passent plus du temps sur les sites de réseaux sociaux, les pirates recherchent un moyen d’entrer sur ces plates-formes. Les cybercriminels comprennent que ces sites sont généralement mis en liste blanche, et pour cette raison, ils sont continuellement à la recherche de nouvelles techniques pour exploiter les réseaux sociaux à des fins malveillantes », commente  Oded Vanunu, chercheur chez Check Point.

En octobre, c’est le virus Ecko qui sévissait sur Messenger. Là encore l’approche était classique : vous recevez sur la messagerie instantanée une vidéo prétendument envoyée par un contact. Pour plus d’efficacité, la vidéo (xic.graphics) se présente avec une photo de votre profil et est nommée « votre prénom Video » afin de vous inciter à cliquer.

En cliquant sur le lien, l’utilisateur est renvoyé vers une fausse page YouTube, il est alors invité à télécharger une extension pour lire le fichier (là encore, approche classique). C’est à ce moment que le virus Eko pénètre votre ordinateur permettant un accès à distance à vos données, notamment en vue de mener des campagnes de phishing ou pour se propager une nouvelle fois par Facebook via le piratage du compte.

 

http://globbsecurity.fr/odin-nouveau-ransomware-39688/

Odin: un nouveau ransomware

 

By on octobre 24, 2016 Cybercriminalité

 

Un nouveau ransomware circule sur la Toile depuis la fin Septembre. Chaque mois de nouvelles familles de logiciels malveillants qui détournent les fichiers en otage sont créés mais cette nouvelle variante est une nouvelle version d’une vieille connue des experts: Locky. Son nouvel nom? Odin, et, comme prevu il est l’œuvre des responsables du ransomware Locky.

G DATA alerte que Odin est distribué par e-mail, et caché dans des pièces jointes. La plupart, des documents de bureau ou des archives. Le problème, comme toujours avec ce type de criptomalware, est qu’une fois ces fichiers malveillants sont téléchargés, le malware commence à faire son travail à partir des répertoires locaux et chiffre les lecteurs réseau partagés.

Donc, pour pas devenir une victime, il faut être attentif face à cette nouvelle vague de ransomware, et surtout, prendre en compte des précautions de base pour éviter de tomber dans le piège. Dès G DATA conseillent que la meilleure protection est une bonne sauvegarde. Non seulement dans un support physique, comme cela peut être un disque dur externe, mais aussi de faire qu’il ce ne soit pas connecté au réseau principal.

Lors de l’ouverture des e-mails avec des pièces jointes, nous pourrions être confrontés à des pièces jointes malveillantes. C’est pour cela qu’avant de télécharger, nous devons nous assurer que nous connaissons vraiment le destinataire et le but du pièce jointe car, bien qu’à l’heure actuelle la plupart des programmes malveillants sont détectés de manière proactive par moyens automatiques, le danger peut ne pas être détecté.

En cas de doute, le conseil est clair: ne pas effectuer le téléchargement. En plus, il est conseillé d’avoir des solutions de sécurité installées, et tenir les ordinateurs mis à jour: le système d’exploitation, les programmes installés, les navigateurs et les outils.

About Author

Monica Valle

Journaliste spécialisée en technologie et cybersécurité. Directrice de Globb Security et présentatrice du programme sur sécurité informatique et technologie Mundo Hacker. Twitter: @monivalle.

 

http://virusguides.com/locky-ransomware-applies-odin-extension-encrypted-files/

Locky Ransomware Applies the .ODIN Extension to Encrypted Files

 

September 27, 2016

 

A brand new version of Locky Ransomware was found today by @dvk01uk. The most peculiar thing about the new ransomware variant is that it switches from the .ZEPTO extension to the.ODIN extension for encrypted files.

Apart from the above-mentioned, it is important to point out that if you are infected with this version of ransomware, you are not infected with the Odin Ransomware. Actually, you are infected by Locky, which is using the .ODIN extension now.

Similarly to the old Locky versions, the new sample is being distributed through WS, JS, etc, or email attachments attached to SPAM emails. When a recipient double-clicks on one of these script files, it will download an encrypted DLL installer, decrypt it, and execute it using the legitimate Windows program, named Rundll32.exe.

The command which is executed to launch the DLL is: rundll32.exe %Temp%\[name_of_dll],qwerty

Being executed, Locky ransomware encrypts a victim’s files, rename them, and append the .ODIN extension after that. For instance, test.jpg may be renamed as 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin.

Nevertheless, you should be aware that the names of the ransom note might have already changed.

The ransom notes that are created by the current version are _HOWDO_text.html, _HOWDO_text.bmp, and _[2_digit_number]_HOWDO_text.html.

A list of the extensions targeted for encryption by the new Locky version is provided bellow:

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key

Nelly Vladimirova

Nelly Vladimirova has been working as a journalist since 1998 with a main focus on Finance, Economics, and IT. In 2004 she graduated the University of Plovdiv, Bulgaria, as a Bachelor in English Philology and Master in Linguistics and Translation. Later, Nelly received a postgraduate certificate in Business Management from Scott’s College, UK. Presently, she is presenting the latest news related to computer security at www.virusguides.com.

 

 

http://ici.radio-canada.ca/nouvelle/801780/rose-des-vents-de-l-estrie-victime-cyberattaque-virus-zepto

Des organismes de l’Estrie paralysés par une cyberattaque

 

Publié le jeudi 8 septembre 2016

Un clavier d'ordinateur

Un clavier d’ordinateur. Photo : IS / iStock

 

La Commission scolaire des Appalaches (CSA) et la Rose des vents de l’Estrie, un organisme offrant du soutien aux gens atteints de cancer, ont été attaqués par un programme de terrorisme informatique. Depuis l’attaque, tous les dossiers de leurs ordinateurs ont été cryptés, rendant l’information impossible à lire. Les pirates informatiques exigent une rançon de plusieurs milliers de dollars en échange d’une clé de décryptage.

Un texte de Geneviève ProulxTwitterCourriel

À la Rose des vents, ce sont 12 000 dossiers qui ont été cryptés. « Le programme qui s’appelle Zepto est envoyé dans le nuage. Ce n’est pas ciblé à la Rose des vents. Ça peut arriver à n’importe qui. Ce n’est pas une personne assise devant son ordinateur », soutient la directrice générale de l’organisme, Anne-Marie Poirier.

Du côté de la CSA, le réseau informatique a été attaqué samedi.

« La Commission ne nous a rien caché et nous a avisés qu’elle avait été piratée et qu’elle n’avait plus accès à aucune donnée. Une rançon de 20 000 $ a été demandée, sinon, dans sept jours, ils perdraient toutes les données. On sait que la Sûreté du Québec fait une enquête », explique le président du Syndicat de l’enseignement de l’amiante, Francis Jacob.

Entre autres problèmes, les enseignants n’ont plus accès à leur tableau interactif ou à leur iPad.

Ils ont dû retourner à leur tableau et à la craie! Il n’y a pas d’autres options.

François Jacob, président du Syndicat de l’enseignement de l’Amiante

Paye menacée?

Mais c’est surtout la possibilité que les employés de la CSA ne reçoivent pas leur salaire qui en inquiète plusieurs. « Des enseignants commencent à appeler au Syndicat pour savoir s’ils seront payés le 15 septembre. C’est à ce moment que devaient être déposés les montants forfaitaires et les réajustements salariaux de la dernière convention collective. La Commission scolaire nous a toutefois dit que rien, pour l’instant, ne pourrait nous faire prétendre que la paye ne serait pas déposée. On ne sait jamais. Ils ont jusqu’à vendredi pour trouver une solution », explique M. Jacob.

Le syndicat a demandé à la direction de la CSA si les données personnelles du personnel avaient été volées. « On n’a pas eu de réponse là-dessus », dit-il.

Le service de taxe scolaire serait également touché.

Des spécialistes en informatique analysent la situation. La Sûreté du Québec enquête également sur ce cas.

La Rose des vents de l'Estrie

La Rose des vents de l’Estrie   Photo : Radio-Canada Estrie/Marie-Hélène Rousseau

 

Beaucoup de problèmes

Pour la Rose des vents, il n’était pas question de payer quelque rançon que ce soit. Dès que l’organisme a saisi être victime d’une cyberattaque du programme Zepto, la décision de fermer les systèmes informatiques a rapidement été prise, et ce avant même de recevoir une demande.

« On a décidé de tout couper, de tout arrêter, de faire un ménage énorme dans nos fichiers et de remettre en place le dernier backup. On a coupé tout », dit Mme Poirier.

Bien que les données des personnes qui sont suivies à la Rose des vents n’aient pas été touchées, la cyberattaque complique grandement la vie de l’organisme.

« Nous avons un technicien qui travaille là-dessus depuis plusieurs jours. Nous avons dû annuler l’assemblée générale de la Fondation Claude-Durocher qui aurait dû avoir lieu hier. On a perdu les documents, dont le rapport annuel que nous devons recommencer. Des logiciels ont aussi été attaqués. Nous avons donc dû acheter de nouveaux logiciels. C’est compliqué! »

Selon la directrice, le programme pourrait être rentré dans le système informatique par un banal courriel. « Nous croyons que c’était un courriel dans lequel c’était écrit que nos billets d’avion étaient arrivés. Si vous attendiez un billet d’avion et que vous avez 45, 50 courriels à vérifier en arrivant au bureau, tu l’ouvres et il est trop tard. »

Une plainte au service de police sera déposée jeudi. « Le virus, Zepto, viendrait de Chine, de Russie ou des Philippines. Ce n’est pas clair. Ça sera à peu près impossible de les retracer », croit Anne-Marie Poirier.

Pour l’instant, il n’existe pas encore de pare-feu ou d’antivirus contre Zepto.

À lire aussi : 

 

http://lepcdeglingue.com/87-lastnews/146-06-07-16-ransomware-zepto-locky

06-07-16 Ransomware ZEPTO (Locky)

 

locky

Une nouvelle variante du virus (ransomware) Locky vient de faire son apparition. Cette version se propage au moyen d’un script joint à une pièce jointe de la messagerie.
Lorsqu’il s’execute, les fichiers bureautiques (*.doc, *.xls, *.pdf, *.jpg etc…) sont cryptés et leur noms sont modifiés de façon à ne plus être explicites se terminant par l’extension zepto.
Il est alors impossible d’ouvrir les documents et une demande de rançon est affichée proposant de payer un decripteur.
Ceci est aujourd’hui très courant et les ransomwares sont de plus en plus nombreux.

  • Il est assez simple de se protéger préalablement en s’assurant d’avoir un antivirus performant, à jour au niveau moteur et base virale. De même il est impératif d’avoir un PC à jour au niveau système et d’utiliser un navigateur à jour.
  • Il n’existe pas encore de decripteur pour les fichiers zepto mais il est possible de récuperer des fichiers dans le Volume Shadow Copy avec Shadow Explorer (uniquement depuis le dernier point de sauvegarde système). Les outils de récupération comme Icare Data Recovery sont sans effet les fichiers étant directement impactés sur le disque.
  • Un bon nettoyage des fichiers temporaires ne fait pas de mal et les éléments tels que Flashplayer et Java doivent aussi être mis à jour régulièrement car ils sont vecteurs de failles de sécurité.

Un seul conseil : mettez vos machines à jour !

 

http://www.sophosfranceblog.fr/ransomware-zepto-nouveau-locky/

Le ransomware Zepto : un nouveau Locky ?

 

zepto

 

Nous vous présentons le dernier arrivé dans l’univers des ransomwares : Zepto.

Il est très similaire au bien connu malware Locky, les effets d’une attaque menée par ce dernier sont identiques : vos fichiers sont chiffrés, et les cybercriminels vous proposent alors de vous vendre la clé de déchiffrement.

En réalité, les familles de malwares Zepto et Locky sont tellement proches que lorsque vous arrivez sur la « page de paiement » de Zepto, sur laquelle les cybercriminels vous expliquent combien vous devez payer pour récupérer vos données, vous voyez ceci :

zepto

Il existe néanmoins une différence évidente par rapport à une infection Locky : en effet, après une attaque Zepto, vos fichiers seront renommés avec une extension .zepto (Locky avait été nommé ainsi car les fichiers avaient reçus l’extension .locky).

En renommant vos fichiers, les cybercriminels souhaitent tout simplement vous faire comprendre l’enjeu réel si vous ne payez pas.

A ce moment-là vous pouvez apprécier combien vous êtes proche de récupérer vos données, mais aussi combien vous en êtes loin.

Comment Zepto arrive ?

Les semaines passées, nous avons pu voir des variantes de Zepto se propager de 2 manières différentes, lesquelles sont traditionnellement utilisées par les ransomwares à but criminel :

    • Dans les emails avec une pièce jointe contenant une archive ZIP.
    • Dans les emails avec une pièce jointe contenant un fichier DOCM.

zepto

Dans le premier cas, en ouvrant l’archive ZIP vous lancerez l’extraction d’un fichier avec une extension .JS (JavaScript).

Si JavaScript semble être un format étrange pour une pièce jointe, qui revendique être un document, rappelez-vous que Windows a supprimé par défaut la partie .JS du nom du fichier, affichant ce dernier uniquement associé à un icône qui donne l’impression qu’il s’agit d’un fichier texte :

zepto

Cependant, en ouvrant le fichier JavaScript, vous lancerez le script du programme qui s’y trouve, qui téléchargera ensuite le ransomware sous la forme d’un fichier .EXE (programme Windows), et le lancera également.

Dans le deuxième cas, la pièce jointe est un DOCM, ainsi en double cliquant sur ce fichier, vous l’ouvrirez par défaut dans Word.

Cependant, DOCM signifie en réalité « document avec macros », un type spécial de document qui contient des scripts intégrés écrits en VBA.

Le VBA est un langage de programmation qui est très similaire au JavaScript, et qui peut être utilisé pour servir les mêmes objectifs, y compris la propagation de malwares.

Les Macros, à l’intérieur d’un fichier Word, ne sont pas lancées par défaut (une précaution de sécurité introduite il y a des années maintenant par Microsoft). Elles déclenchent une alerte comme celle ci-dessous, vous invitant à utiliser le bouton [Options], afin d’ajuster vos paramètres de sécurité.

Dans le cas des récentes attaques Zepto que nous avons vu, les documents piégés étaient vierges en débouchant, après l’ouverture, de manière inhabituelle sur une page vide :

zepto

La plupart des documents qui transportent avec eux des ransomwares, en général fournissent des explications ou bien des excuses pour vous encourager à cliquer sur [Options], et à changer les paramètres de sécurité, en prétextant souvent et ironiquement d’ailleurs que cela améliorera votre propre sécurité.

Dans notre cas, les cybercriminels sont restés discrets, en espérant que vous cliquerez sur [Options] de votre propre initiative.

Nous ne savons pas s’il s’agit ici d’un accident (en oubliant d’intégrer des instructions explicatives), ou bien si cette manœuvre est volontaire (afin d’éviter le type de message qui est maintenant bien connu comme systématiquement associé à des ransomwares).

En autorisant les Macros, vous effectuer une démarche similaire à celle consistant à ouvrir le fichier JavaScript ci-dessus : le script VBA télécharge le ransomware sous la forme d’un fichier (programme Windows) .EXE, et le lance.

Les produits Sophos détectent et bloquent ces vecteurs d’attaques sous une variété de noms, incluant notamment : Mal/DrodZp-A (une archive ZIP en pièce jointe), Troj/JSDldr-LU (des downloaders JavaScript  intégrés dans un fichier ZIP), Troj/DocDl-DUN (un document Word avec Macros dans une pièce jointe), Mal/Ransom-EM et Troj/Ransom-DJF (les fichiers .EXE du ransomware lui-même).

Le moment de payer

Tout comme Locky, Zepto commence par effectuer un « call home » vers un serveur web contrôlé par les cybercriminels, à partir duquel il télécharge une clé de chiffrement pour chiffrer vos données.

Les cybercriminels en question conservent alors la clé de chiffrement correspondante avec eux, qui se trouvera justement être cette même clé qu’ils vous offriront d’acheter plus tard (voir ci-dessous, où le prix demandé s’élève à BTC 0.5, soit à peu près à l’heure actuelle 300$).

Vos données se retrouvent à la fois chiffrées et renommées, de telle manière à ce que les fichiers chiffrés au final ressembleront à ceci :

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto

FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto

FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto

FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

La première moitié de chaque nom est la même pour tous les fichiers, et est un identifiant unique qui indique aux cybercriminels « qui vous êtes » si vous décidez de payer afin de récupérer vos données.

Après le chiffrement de vos données, Zepto vous présente le message expliquant « comment payer », afin de s’assurer que vous pouvez récupérer vos fichiers, moyennent le paiement d’une certaine somme.

Le message apparaît de 3 manières différentes : en se substituant à votre fond d’écran, au sein d’une image qui s’ouvre avec le Windows Photo Viewer, et comme une page HTML qui s’enregistre dans chaque répertoire où des fichiers ont été chiffrés.

L’ID d’identification personnelle dans le message “comment payer” est le même que la première moitié des noms des fichiers chiffrés.

zepto

En suivant les instructions dans _HELP_instructions.html, vous arriverez à la « page de paiement », affichée au début de l’article.

Quoi faire ?

Nous vous mettons en garde régulièrement sur la manière d’empêcher (et de se remettre) de telles attaques menées par des ransomwares et autres nuisibles.

Voici ci-dessous quelques liens que nous pensons être utiles pour vous :

Partagez Le ransomware Zepto : un nouveau Locky ? avec : http://wp.me/p2YJS1-2Mw
Billet inspiré de Is Zepto ransomware the new Locky? par Paul Ducklin, Sophos nakedsecurity.

 

https://fr.wikipedia.org/wiki/Locky

Locky

Locky
Classe Cheval de Troie
Type Ransomware
Sous-type Crypto-verrouilleur
Système(s) d’exploitation affecté(s) Windows

Locky est un cheval de Troie de type ransomware envoyé par e-mail et se présentant sous la forme d’une facture qu’il faut ouvrir avec Microsoft Word 1. À première vue, le document semble illisible et demande à l’utilisateur d’activer les macros. Une fois celles-ci activées, Locky télécharge un programme sur l’ordinateur afin de chiffrer toutes les données 2. Il est ensuite demandé à l’utilisateur de télécharger Tor puis de visiter un site précis afin d’obtenir la marche à suivre pour débloquer ses fichiers. Un paiement d’un montant variable en bitcoins est alors demandé. Locky a été découvert en février 2016 et aurait infecté des millions d’utilisateurs 3. Les serveurs pirates hébergeant le cheval de troie sont toujours actifs au 27 juin 2016 4.

Notes et références

Liens externes

 

https://en.wikipedia.org/wiki/Locky

    1. Locky

      From Wikipedia, the free encyclopedia
      Locky
      Aliases
      Type Trojan
      Subtype Ransomware
      Author(s) Necurs

      Locky is ransomware malware released in 2016. It is delivered by email (that was allegedly an invoice requiring payment) with an attached Microsoft Word document that contains malicious macros.[1] When the user opens the document, it appears to be full of garbage, and it includes the phrase « Enable macro if data encoding is incorrect, » a social engineering technique. If the user does enable macros, the macros then save and run a binary file that downloads the actual encryption trojan, which will encrypt all files that match particular extensions. Filenames are converted to a unique 16 letter and number combination with the .locky file extension.[2][3] After encryption, a message (displayed on the user’s desktop) instructs users to download the Tor browser and visit the a specific criminal-operated Web site for further information. The Web site contain instructions that demand a payment of between 0.5 and 1 bitcoin (as of 22 November 2016 one bitcoin can be exchanged for 691.83 Euro via a bitcoin exchange). Since the criminals possess the private key and the remote servers are controlled by them, the victims are motivated to pay to decrypt their files.[4][5]

      220px-Enrypted_file dans Attentats

      Encrypted File

      Contents

      Operation

      The most commonly reported mechanism of infection involves receiving an email with a Microsoft Word document attachment that contains the code. The document is gibberish, and prompts the user to enable macros to view the document. Enabling macros and opening the document launch the Locky virus.[6] Once the virus is launched, it loads into the memory of the users system, encrypts documents as hash.locky files, installs .bmp and .txt files, and can encrypt network files that the user has access to.[7] This has been a different route than most ransomware since it uses macros and attachments to spread rather than being installed by a Trojan or using a previous exploit.[8]

      Updates

      On June 22, 2016, Necurs released a new version of Locky with a new loader component, which includes several detection-avoiding techniques, like detecting whether it is running within a virtual machine or within a physical machine, and relocation of instruction code.[9][10] The second version of Locky, called Odin, was presented in the end of September. As the name of this virus suggests, it appends .odin extension to each of affected files and requires 0.5 bitcoin from its victims who want to get the decryption key. The ransomware spreads as « Receipt [random characters] » email attachment.[11] Another version of Locky was released in October that appends .thor file extensions. It is being spread with JS and VBS attachments and employs an encrypted DLL Installer.[12]

      Prevalence

      Locky is reported to have been sent to about a half-million users on February 16, 2016, and for the period immediately after the attackers increased their distribution to millions of users.[13] Despite the newer version, Google Trend data indicates that infections have dropped off around June 2016.[14]

      Notable incidents

      On February 18, 2016, the Hollywood Presbyterian Medical Center paid a $17,000 bitcoin ransom for the decryption key for patient data.[15] The Hospital was infected by the delivery of an email attachment disguised as a Microsoft Word invoice.[16] This has led to increased fear and knowledge about ransomware in general and has brought ransomware into public spotlight once again. There appears to be a trend in ransomware being used to attack hospitals and it appears to be growing. [17]

      On May 31, Necurs went dormant, perhaps due to a glitch in the C&C server.[citation needed][original research?] According to Softpedia, there were less spam emails with Locky or Dridex attached to it. On June 22, however, MalwareTech discovered Necurs’s bots consistently polled the DGA until a C&C server replied with a digitally signed response. This signified Necurs was no longer dormant. The cybercriminal group also started sending a very large quantity of spam emails with new and improved versions of Locky and Dridex attached to them, as well as a new message and zipped JavaScript code in the emails.[10][18]

      Spam email vector

      An example message with Locky as an attachment is the following:

      Dear (random name):

      Please find attached our invoice for services rendered and additional disbursements in the above-mentioned matter.

      Hoping the above to your satisfaction, we remain

      Sincerely,

      (random name)

      (random title)

      References

    2. Sean Gallagher (February 17, 2016). «  »Locky » crypto-ransomware rides in on malicious Word document macro ». arstechnica.
    3. « Locky Ransomware [Updated]« .
    4. « locky ransomware ». Retrieved 26 July 2016.
    5. « locky-ransomware-what-you-need-to-know ». Retrieved 26 July 2016.
    6. « locky ransomware ». Retrieved 26 July 2016.
    7. Paul Ducklin (February 17, 2016). « Locky ransomware: What you need to know ». Naked Security.
    8. Kevin Beaumont (February 17, 2016). « Locky ransomeware virus spreading via Word documents ».
    9. http://thehackernews.com/2016/02/locky-ransomware-decrypt.html
    10. « Necurs Botnet Resurfaces With Updated Locky and Dridex Versions ». Bitcoinist. Retrieved 27 June 2016.
    11. Spring, Tom. « Necurs Botnet is Back, Updated With Smarter Locky Variant ». Kaspersky Lab ZAO. Retrieved 27 June 2016.
    12. « Latest versions of Locky use receipt-looking attachment ». 2spyware. Retrieved 3 November 2016.
    13. « Locky creates .thor extensions ». SureShot Software. Retrieved 27 October 2016.
    14. « locky ransomware threats ». Retrieved 26 July 2016.
    15. « Google Trends ». Google Trends. Retrieved 2016-08-14.
    16. Richard Winton (February 18, 2016). « Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating ». LA Times.
    17. Jessica Davis (February 26, 2016). « Meet the most recent cybersecurity threat: Locky ». Healthcare IT News.
    18. http://thehackernews.com/2016/04/hospital-ransomware.html

Loeb, Larry. « Necurs Botnet Comes Back From the Dead ». Security Intelligence. Retrieved 27 June 2016.



Terrorisme : mise en échec d’une « attaque de grande envergure » prévue le 1er décembre 2016

Connaissant les projets, méthodes et habitudes du malade mental extrêmement dangereux Pascal Edouard Cyprien Luraghi, nous ne sommes nullement surpris d’apprendre qu’une ou plusieurs cellules dormantes aient pu récemment recevoir l’ordre de mener une ou plusieurs attaques sur le sol français avant la mi-décembre, apparemment pour le 1er décembre 2016.

Déjà l’année dernière avait été perpétrée le 13 novembre une attaque de grande ampleur environ quinze jours avant le 2 décembre 2015, date où était attendue la décision de la Cour d’Appel de Rennes dans l’affaire intéressant tellement ce psychopathe.

Passons.

Cette fois-ci, l’arrestation de terroristes avant leur passage à l’acte permet de bien mettre en évidence des processus à l’oeuvre à chacune de leurs attaques depuis 2012 : d’abord une date est choisie en fonction d’objectifs précis, et seulement ensuite sont recherchées des cibles. Celles-ci ne sont toujours que symboliques, leur choix s’opère en fonction de messages à faire passer.

Ainsi l’attaque de Charlie Hebdo du 7 janvier 2015 avait-elle d’abord ciblé la liberté d’expression en fonction d’objectifs précis à cette époque, et seulement de manière secondaire les personnes qui furent effectivement touchées comme représentant une liberté d’expression coupable ou condamnable.

Enfin, comme deux des terroristes arrêtés se sont rendus en Turquie en 2015 en y entrant de manière inhabituelle par le port de Mersin après avoir séjourné à Chypre, je rappelle avoir signalé dès le mois de mars de cette année une adresse en ce lieu en relation avec de nouveaux projets terroristes de mes harceleurs :

http://petitcoucou.unblog.fr/2016/03/09/nouvelles-adresses-ip-de-terroristes/

Comme je l’annonçais hier soir, je reçois de nouveau des messages électroniques chargés de virus du même malade mental que d’habitude depuis le 1er mars 2016.

Et comme trop souvent, la police a mieux à faire que de traquer des cyberdélinquants ou terroristes… et m’envoie promener en me disant de m’adresser au ministre de l’Intérieur si cela me pose problème…

Tant qu’à faire, je m’adresse donc ici-même à tous les ministres et tous les services de la planète oeuvrant à mettre ces criminels hors d’état de nuire.

Voilà ce qui se passe actuellement :

Comme il l’a déjà fait à plusieurs reprises au cours des années passées, le grand maître terro Pascal Edouard Cyprien Luraghi m’envoie ces messages à partir d’adresses électroniques de personnes existant réellement et qu’il a piratées à cet effet au préalable, après les avoir soigneusement choisies pour véhiculer ses messages de merde, annonciateurs de nouvelles saloperies à type d’assassinats en série et d’attentats particulièrement meurtriers.

Les adresses IP d’envoi des messages que j’ai reçus sont celles-ci :

 

- le 1er mars 2016 à 9h39 :

IP-Adresse: 193.255.129.176
Provider: National Academic Network and Information Center
Organisation: Mersin University
Region: Mersin (TR)

 

 

 

 

Pays : Turquie

 

- le 7 mars 2016 à 11h12 :

IP-Adresse: 182.74.177.57
Provider: Bharti Broadband
Organisation: BHARTI Airtel

 

 

 

Pays : Inde

 

Elles peuvent correspondre à des terroristes en chair et en os relais du précédent, mais pas forcément.

 

 

http://tempsreel.nouvelobs.com/attentats-terroristes-a-paris/20161121.OBS1511/l-incroyable-enquete-qui-a-permis-de-dejouer-un-nouvel-attentat.html

Strasbourg et Marseille : l’incroyable enquête qui a permis de déjouer un nouvel attentat

 

Strasbourg et Marseille : l’incroyable enquête qui a permis de déjouer un nouvel attentat

Vue de Marseille le 26 octobre 2014. (BORIS HORVAT / AFP)

 

EXCLUSIF. Sept personnes ont été interpellées à Strasbourg et Marseille ce week-end, parmi lesquelles un employé d’école. L’enquête a permis de « déjouer un nouvel attentat », selon Bernard Cazeneuve.

 

Violette LazardPublié le 21 novembre 2016 à 15h07

 

Les interpellations menées ce week-end à Strasbourg et Marseille ont sans doute permis de déjouer plusieurs attentats d’ampleur à Paris et dans la cité phocéenne. D’après nos informations, les sept personnes arrêtées, qui se trouvent aujourd’hui en garde à vue dans les locaux de la DGSI (les renseignements intérieurs), étaient sur le point de passer à l’acte, même si aucune cible précise, à ce stade, n’a pu être mise au jour. D’après les premières investigations, un attentat à Strasbourg ne semble pas avoir été envisagé.

A Strasbourg, plusieurs armes ont été retrouvées lors des perquisitions, dont un pistolet-mitrailleur de type Uzi et quatre pistolets automatiques ainsi que des munitions. Des documents d’allégeance à l’organisation Etat islamique ont également été saisis. Comme l’a annoncé Bernard Cazeneuve ce lundi matin, ces sept interpellations sont en lien avec cinq arrestations remontant au mois de juin dernier, intervenues juste avant le début de l’Euro de football.

La véritable enquête sur ce commando à multiples facettes débute, elle, en février 2016. Elle a été menée par les enquêteurs de la DGSI, avec le soutien technique du Siat (Service interministériel d’assistance technique), spécialisé notamment dans l’infiltration.

Projet d’attentat contre l’Euro

A cette date, les services de renseignement sont alertés d’un début de projet d’attentat contre l’Euro 2016. Les ordres semblent venir d’un homme basé en Syrie, dont l’identité reste mystérieuse. Un groupe de cinq personnes – des hommes résidant en région parisienne – est en contact avec ce cadre de l’Etat islamique. Ils sont identifiés par les services comme les « financiers » d’un projet de grande ampleur, qui pourrait viser les fan zones ou les matchs de foot.

En effet, grâce à des prêts à la consommation, ils amassent de l’argent mais ne semblent pas faire partie du projet opérationnel. Tous sont connus pour des faits de droit commun – escroquerie, vols, stups… – mais aucun n’est fiché pour radicalisation ou terrorisme. L’idée des services de renseignement est alors d’attendre qu’ils entrent en contact avec le commando actif pour démanteler la totalité du réseau.

A la veille de l’Euro, en juin 2016, aucun lien n’a été établi avec de possibles terroristes sur le territoire français. Seul le fil avec la Syrie reste avéré. Les services décident donc d’arrêter ce premier groupe pour ne faire courir aucun risque autour des matchs de football. Sur les cinq personnes interpellées, deux sont mises en examen, déférées, et se trouvent toujours en prison. Les autres n’auraient pas été avertis de la finalité de cette « récolte de fonds »….

Une cache d’armes fictive

C’est alors que commence la phase B de cette enquête, sans doute l’opération de plus grande ampleur menée depuis le début de la vague d’attentats revendiqués par Daech il y a deux ans. Les agents de la DGSI, aidés par ceux du Siat, tendent un piège à celui que l’on appellera « le Syrien ». Il est alerté que des armes sont disponibles dans une cache située en région parisienne.

C’est un piège, un leurre pour essayer d’arrêter le commando, qui se trouve toujours dans la nature. La cache est ultra-surveillée. Pendant des mois, personne ne vient. Puis les choses bougent, enfin, au mois de novembre. Un brin elliptique, une source proche du dossier raconte :

« Acculés par les défaites sur place, des membres de l’EI surveillés ont contacté des gens en France. Ils voulaient taper à tout prix. »

Un réseau est identifié à Strasbourg. Un relais à Marseille. Les services n’attendent pas qu’ils se rendent à la planque fictive pour les arrêter. Une enquête préliminaire est ouverte le 14 novembre dernier par la section antiterroriste du parquet de Paris, et sept personnes âgées de 29 à 37 ans et de nationalités française, marocaine et afghane sont donc interpellées.

Un employé d’école primaire

Terrorisme : mise en échec d'une

La Meinau, à Strasbourg. (JOHANNA LEGUERRE / AFP)

A Marseille, les enquêteurs pensent avoir arrêté les « banquiers ». De l’argent a été saisi mais aucune arme n’a été retrouvée. Le groupe de Strasbourg était, lui, potentiellement opérationnel.  »On découvre leur profil en ce moment même », explique une source policière :

« Mais vu l’arsenal retrouvé chez eux et la violence de la documentation, ils auraient pu passer à l’action très rapidement. »

On en sait malgré tout un peu plus sur l’un de ces hommes. D’après nos informations, il s’agit d’un employé périscolaire, en poste dans une école primaire de la Meinau (un des quartier de Strasbourg). Deux des quatre pistolets automatiques ont été retrouvés chez lui. Son ordinateur professionnel a été saisi à l’école primaire. Françoise Buffet, l’adjointe au maire de Strasbourg en charge de l’éducation, confirme :

« Cet homme est en poste depuis plusieurs années dans cette école, il est devenu fonctionnaire il y a trois ans. Nous n’avons jamais eu aucun indice, aucun élément qui aurait pu nous faire croire à une possible radicalisation. Il a toujours fait un très bon travail. Nous en sommes au début de l’enquête, il faut attendre… »

Une réunion d’information est prévu demain avec les parents de l’école à la sortie des classes. Les enseignants ont eux été alertés dès aujourd’hui de cette interpellation. Les trois autres personnes arrêtées à Strasbourg ne résideraient pas dans cette ville.

Un voyage en Syrie ?

Deux des personnes interpelées à Strasbourg ce week-end sont soupçonnées de s’être rendus en Syrie, via Chypre. Parmi eux figure le fonctionnaire employé dans une école strasbourgeoise. D’après nos informations, deux des 4 individus arrêtés se sont en effet rendus en vacances sur cette île située non loin de la Turquie. Ils auraient pu ensuite rejoindre la Syrie. Ils n’étaient pas identifiés par les services de renseignements comme radicalisés.

Aucune des personnes interpellées ce week-end ne figure dans les fichiers des services de renseignement français. Six étaient inconnus dans l’Hexagone, et l’homme de nationalité marocaine, résidant au Portugal et de passage à Marseille, était connu des services portugais.

Violette Lazard

Violette Lazard

Violette Lazard

Journaliste

 

http://www.lefigaro.fr/actualite-france/2016/11/23/01016-20161123ARTFIG00320-terrorisme-deux-sites-policiers-cibles-potentielles-des-attentats-dejoues.php

Attentat déjoué : la garde à vue des suspects exceptionnellement prolongée

 

 

Le siège de la police judiciaire parisienne, au 36, quai des Orfèvres.

 

VIDÉO – Selon des informations d’i-Télé et de BFMTV, l’un des cinq suspects arrêtés le week-end dernier à Strasbourg aurait reconnu qu’un projet d’attaque était bien en préparation pour le 1er décembre.

Les investigations sur un attentat déjoué par les arrestations de sept personnes à Strasbourg et Marseille, en fin de semaine dernière, se poursuivent. Selon des informations d’i-Télé, l’un des quatre suspects strasbourgeois interpellés dans la nuit de samedi à dimanche a reconnu qu’un projet d’attaque était en préparation. Il aurait déclaré en garde à vue qu’ils comptaient agir le 1er décembre. Cette précision du Parisien a été confirmée par une source qui a parlé à l’AFP: «Il ressort des investigations qui sont toujours en cours que le passage à l’acte était prévu le 1er décembre». Parmi les cibles potentielles, l’homme a cité deux sièges de services de la police, dont l’un apparaissait déjà dans les éléments exploités par les enquêteurs, ainsi qu’un parc d’attractions de la région parisienne et des lieux de culte catholique.

● Une vingtaine de cibles potentielles

Selon BFMTV, les terroristes présumés avaient effectué des recherches sur une vingtaine de cibles potentielles. Dans le contenu des ordinateurs retrouvés, les enquêteurs auraient notamment découvert des recherches internet sur le site de la Direction générale de la sécurité intérieure (DGSI), à Levallois, et le 36, quai des Orfèvres, le siège de la police judiciaire de la Préfecture de police de Paris. Toujours selon la chaîne d’informations en continu, des consignes ont été données pour renforcer la sécurité de ces lieux. France Info cite également le Palais de justice de Paris comme cible potentielle. «Des déclarations qui doivent également être vérifiées et qui n’ont pas pour l’heure été corroborées par les autres suspects», à ce stade, a souligné une source policière proche de l’enquête à l’AFP.

Pour autant, les enquêteurs «n’ont pas établi à ce stade qu’il y ait eu des repérages et des surveillances de ces cibles», a insisté cette source. Aux yeux des enquêteurs, les suspects «n’avaient pas encore de projet précis et affiné».

● Une lettre d’allégeance à l’État islamique

Deux des hommes arrêtés à Strasbourg sont soupçonnés d’avoir gagné la Syrie en 2015 en passant par Chypre, avant de revenir en Europe. Les investigations se sont accélérées le 14 novembre quand la DGSI a reçu un renseignement laissant supposer un passage à l’acte imminent. Outre les deux armes de poing, un pistolet automatique, un pistolet-mitrailleur ainsi que des écrits d’allégeance à l’État islamique ont été trouvés lors des perquisitions.

● Prolongation exceptionnelle de cinq gardes à vue

Les investigations étaient toujours en cours mercredi sur le matériel informatique et téléphonique saisi chez les suspects arrêtés à Strasbourg, des hommes âgés de 35 à 37 ans, de nationalité française et inconnus des services de renseignement. Leur garde à vue à la Direction générale de la sécurité intérieure (DGSI) a été prolongée ce jeudi matin au-delà des 96 heures, de manière exceptionnelle. Une telle prolongation, qui peut porter les gardes à vue à une durée totale de 144 heures, soit six jours, n’est possible que lorsque les investigations font craindre une menace d’attentat imminent ou pour des nécessités de coopération internationale. La garde à vue de deux autres suspects a été levée mardi soir. Il s’agit d’un Marocain venu du Portugal arrêté à Marseille et d’une personne qui l’hébergeait dans cette ville.

● Une douzaine d’attentats déjoués depuis juillet

Le ministre de l’Intérieur Bernard Cazeneuve a évoqué, lundi, un «nouvel attentat déjoué», assurant que ces interpellations avaient «permis de mettre en échec une action terroriste envisagée de longue date» en France, frappée depuis près de deux ans par une vague sans précédent d’attaques djihadistes. Selon lui, 17 attentats ont été «déjoués» depuis le début de l’année, dont, a précisé mercredi Manuel Valls, une douzaine depuis juillet.

 

http://www.dhnet.be/actu/monde/attentat-dejoue-en-france-ou-et-comment-la-cellule-voulait-frapper-58370790cd70a4454c04d41f

Attentat déjoué en France : où et comment la cellule voulait frapper

 

AFP Publié le jeudi 24 novembre 2016 à 16h31 – Mis à jour le vendredi 25 novembre 2016 à 14h58

Une dizaine de cibles potentielles, un passage à l’acte prévu « le 1er décembre » et cinq suspects toujours en garde à vue: quatre jours après le coup de filet des services antiterroristes à Strasbourg et Marseille, les enquêteurs cherchent à déterminer où et comment la cellule voulait frapper.

Cinq suspects toujours en garde à vue

Interpellés le week-end dernier, leur garde à vue a été prolongée jeudi matin au-delà de 96 heures et peut être portée à six jours maximum, une durée possible uniquement en matière terroriste en cas de menace d’attentat imminent ou pour des nécessités de coopération internationale.

Âgés de 35 à 37 ans, les quatre hommes arrêtés à Strasbourg, de nationalité française, sont inconnus des services de renseignement. Deux d’entre eux, Yassine B., employé dans une école strasbourgeoise, et Hicham M. sont soupçonnés d’avoir gagné la Syrie, via Chypre, en 2015, avant de revenir en Europe.

Des écrits menaçants évoquant la nécessité de « couper les têtes au koufar (mécréant) et au traître » ont été retrouvés dans le téléphone d’Hicham M., selon une source proche de l’enquête.

Le cinquième suspect, Hicham E., Marocain de 46 ans interpellé à Marseille, avait été signalé aux services français par leurs homologues au Portugal, pays où il résidait, après plusieurs voyages suspects en Europe. De l’argent a été saisi lors de son interpellation et les enquêteurs le soupçonnent d’avoir eu un rôle de collecteur de fonds.

Où et comment la cellule comptait-elle attaquer ?

« Le passage à l’acte était prévu le 1er décembre », d’après la source proche de l’enquête.

L’exploitation du matériel téléphonique et informatique saisi lors des perquisitions révèle qu’une dizaine de sites en région parisienne ont fait l’objet de recherches sur internet. Autant de cibles potentielles, parmi lesquelles le 36 quai des Orfèvres, siège de la PJ, le marché de Noël des Champs-Élysées, Disneyland Paris, des terrasses de cafés dans le XXe arrondissement, une station de métro et plusieurs lieux de cultes.

En garde à vue, l’un des quatre suspects arrêtés à Strasbourg a reconnu qu’un projet d’attaque était prévu, évoquant le siège de la PJ parisienne, mais aussi celui de la Direction générale de la sécurité intérieure (DGSI) à Levallois-Perret (Hauts-de-Seine).

Mais pour l’instant, l’enquête n’établit pas que des repérages aient eu lieu et le modus operandi ne semble pas avoir eu le temps d’être affiné, ce qui laisse planer des zones d’ombre : un attentat unique ou des attaques simultanées étaient-ils envisagés ? Comment la cellule comptait-elle opérer alors qu’à ce stade, seules quatre armes ont été retrouvées au cours des perquisitions ? Cherchait-elle à se procurer davantage de matériel ?

Un donneur d’ordre en Syrie ?

Outre les soupçons de séjour en Syrie de Yassine B. et Hicham M., plusieurs messages cryptés ont été exhumés entre des membres de la cellule et « un donneur d’ordre » établi en Syrie et surveillé par les services français.

Le 14 novembre, un message entre ce membre du groupe État islamique (EI) et certains des Français interpellés à Strasbourg avait été intercepté par les services, laissant craindre un passage à l’acte imminent. La DGSI avait alors organisé, dans l’urgence, l’opération qui a conduit au vaste coup de filet du week-end dernier.

Le donneur d’ordre était aussi en contact avec deux autres suspects liés à la cellule et interpellés le 14 juin, en plein Euro de football. Ces derniers avaient contracté des crédits à la consommation et les enquêteurs les soupçonnent d’avoir pu jouer un rôle de financiers.

Certains membres du réseau n’ont jamais été en contact entre eux, uniquement reliés par l’homme établi en Syrie, d’après les premiers éléments de l’enquête.

 

http://www.lemonde.fr/societe/article/2016/11/25/attentat-dejoue-les-cinq-suspects-interpelles-mis-en-examen_5038041_3224.html

Ce que révèle l’enquête sur le démantèlement de la cellule de Strasbourg

 

Les hommes arrêtés le week-end dernier sont soupçonnés d’avoir voulu commettre un attentat le 1er décembre. Cinq suspects ont été mis en exemen et écroués vendredi soir.

LE MONDE | 25.11.2016 à 12h31 • Mis à jour le 25.11.2016 à 23h16 | Par Elise Vincent

On en sait désormais plus sur la vaste opération de démantèlement d’une cellule terroriste dormante, en France, qui avait été annoncée, lundi 21 novembre, par le ministre de l’intérieur Bernard Cazeneuve. Lors d’une conférence de presse, organisée vendredi 25 novembre, le procureur de la République de Paris François Molins, est revenu sur ce dossier, alors que l’ensemble des gardes à vue des sept hommes interpellés en début de semaine entre Strasbourg et Marseille, ont été levées ou sont arrivées au terme du maximum légal autorisé.

 

Lire aussi :   Un attentat envisagé « de longue date » déjoué en France

A la suite de ces auditions, cinq hommes ont été mis en exemen et écroués vendredi soir. Deux autres ont été relâchés mardi, a confirmé le procureur. Une information judiciaire a été ouverte dans ce cadre pour « participation à une association de malfaiteurs terroristes en vue de la préparation de crimes d’atteinte aux personnes, d’acquisition, détention, transport, offre et cession illégale d’armes et de munitions de catégories A et B, le tout en réunion et en relation avec une entreprise terroriste ».

Un commanditaire commun

Alors qu’avait un temps été envisagée la piste d’une attaque à cibles « multiples », M. Molins a concédé que les investigations ne permettaient pas, en l’état, de confirmer cette hypothèse de manière certaine, même si les hommes interpellés à Marseille et à Strasbourg avaient des « instructions communes ». De même, alors que les premiers éléments de l’enquête tendaient à prouver que tous ces hommes ne se connaissaient pas, les saisies informatiques et cellulaires ont permis de montrer qu’ils étaient en contact très étroits depuis longtemps, en réseau fermé, sur une messagerie cryptée et une ligne téléphonique « dédiée ». Les hommes interpellés à Strasbourg étaient par ailleurs tous amis d’enfance. En revanche, ils n’avaient pas de « contacts direct » avec l’un des individus interpellé à Marseille, Hicham E., 26 ans. Un Marocain signalé au Portugal, son pays de résidence, pour radicalisation et qui a tenté au moins une fois de se rendre à la frontière turco-syrienne.

Le point commun entre ce dernier et les hommes de Strasbourg, était un commanditaire installé dans la zone irako-syrienne. Un homme dont l’une des kunyas ou « nom de code » est « Abu Ali », selon nos informations, un francophone qui aurait pu être présent aussi en Turquie.

Une planque dans le bois de Montmorency

Parmi les cinq hommes interpellés, deux semblent avoir joué un rôle particulièrement important. Hicham M. et Yassin B., deux returnees (personnes qui sont allées en Syrie et en sont revenues) présumés. Ils auraient commencé à avoir l’intention de partir pour la Syrie dès 2012. Mais ils n’auraient sauté le pas qu’en 2015. Depuis lors, « Abu Ali » serait resté en contact avec eux et les aurait guidés pas à pas jusqu’au projet d’attentat relativement précis dont la Direction générale de la sécurité intérieure (DGSI) a empêché la mise en œuvre.

Peu de temps avant leur arrestation, les deux returnees, Hicham M. et Yassin B., s’étaient vu transmettre les coordonnées GPS, par une application cryptée, d’une planque située dans le bois de Montmorency, dans le Val-d’Oise. Une planque où ils auraient pu récupérer plusieurs kalachnikovs et des munitions.

Alors qu’un temps cette planque avait été évoquée comme un « piège » tendu par la DGSI, dans le cadre d’un travail d’infiltration mené en collaboration avec le service interministériel d’assistance technique (SIAT) – le service qui gère les agents infiltrés –, François Molins ne s’est pas exprimé sur cette méthode de travail. « Je ne m’exprimerai pas, pour des motifs impérieux, vous le comprendrez, sur les techniques et outils qui ont été spécifiquement mis en place (…). Je m’y refuse, pour ne pas mettre en péril notre action dans la lutte antiterroriste », a-t-il argué.

Particularité du dossier, Hicham M. et Yassin B. n’avaient pas été repérés par les services de renseignements lors de leur aller-retour en Turquie. Ils sont partis ensemble mais par un itinéraire inhabituel. Ils auraient ainsi d’abord pris l’avion pour l’île de Chypre puis seraient entrés en Turquie par voie maritime, via le port de Mersin, alors que beaucoup d’aspirants au djihad ont longtemps utilisé l’avion directement pour Istanbul ou choisi la route. Sont-ils passés côté syrien ? L’enquête devra le déterminer. Leur aller-retour n’aurait en tout cas duré que quelques jours.

Une cible précise qui reste à déterminer

Les quatre Strasbourgeois ont presque tous largement dépassé la trentaine et sont originaires des quartiers populaires de la ville, notamment du Neuhof. Hicham M., 37 ans, est manutentionnaire et vivait chez ses parents, Yassin B. est agent périscolaire, Sami. B, 26 ans, franco-tunisien, travaille dans une épicerie et est père de trois enfants. Le quatrième, Zacharia M., 35 ans, est franco-marocain. Seuls deux d’entre eux ont un casier judiciaire, Sami B. et Hicham M., avec respectivement sept et six condamnations à leur actif.

La cible précise du projet d’attentat reste encore à déterminer. Il n’est pas certain qu’elle ait été très précise au moment des interpellations. Seule la date du passage à l’acte du commando de Strasbourg était relativement établie : le 1er décembre. Pour le reste, il s’agit plutôt de déductions à partir du bornage téléphonique, et de la consultation des sites Internet et des recherches Google repérées dans les ordinateurs et les téléphone saisis : y figuraient notamment des lieux de culte, le siège de la DGSI ou le 36, quai des Orfèvres. Des adresses dans le 20arrondissement de Paris et des cibles militaires ont aussi été un moment envisagées, ainsi que des ordres donnés pour une action sur les Champs-Elysées.

Allégeances à l’EI

En perquisitionnant les domiciles de tous ces individus, les enquêteurs ont en tout cas découvert chez les deux returnees présumés, Hicham M. et Yassin B., des allégeances claires à l’organisation Etat islamique (EI). Chez le second ont aussi été retrouvés une arme de poing, un pistolet automatique, des chargeurs et des munitions. Il y avait également chez Zacharia M. un pistolet automatique et un pistolet-mitrailleur, ainsi que des munitions. Les enquêteurs ont enfin retrouvé téléchargée sur les téléphones d’Hicham M. et de Yassine B. l’application Periscope, qui permet de se filmer tout en diffusant sa vidéo en direct. Autant d’indices qui laissaient entendre, selon le procureur de la République de Paris, « l’imminence d’un passage à l’acte ».

Le démantèlement dans la nuit du 19 au 20 novembre de la cellule terroriste présumée fait suite à des investigations qui ont débuté en février et avaient conduit à une première série de cinq arrestations en juin, quelques jours après le début de l’Euro de football et au lendemain de l’assassinat d’un policier et de sa compagne à Magnanville (Yvelines). A l’époque, on avait seulement pu établir que les individus visés réalisaient de nombreux prêts à la consommation suspects et qu’ils étaient en lien avec un commanditaire installé en Syrie. Ces cinq hommes étaient originaires de Seine-Saint-Denis, du Val-de-Marne et de Paris. Trois ont été relâchés sans poursuites, mais deux d’entre eux ont été mis en examen et placés en détention provisoire : un homme de 38 ans originaire de Moselle, et un autre de 40 ans, un Franco-Malien né à Paris. Des investigations sont encore en cours, les dossiers sont encore séparés sur le plan judiciaire, mais cette première vague correspondrait au volet « financier » du projet d’attentat finalement « déjoué » ce week-end.

Lire aussi :   Un attentat « déjoué » rappelle la persistance de cellules organisées en France

 Elise Vincent

  • Journaliste au Monde

 

http://www.lefigaro.fr/actualite-france/2016/11/25/01016-20161125ARTFIG00178-les-terroristes-voulaient-frapper-la-france-le-1er-decembre-au-nom-de-daech.php

Des terroristes voulaient frapper la France le 1er décembre

 

 

Le procureur de la République de Paris, François Molin, vendredi 25 novembre 2016.

Téléguidés par un donneur d’ordre retranché en zone syro-irakienne, les suspects déjà armés voulaient cibler des sites symboliques et se filmer en direct au moment de leur passage à l’acte. Ils ont été mis en examen et écroués ce vendredi soir. François Hollande a affirmé qu’une «attaque de grande envergure» avait été évitée.

«Un passage à l’acte imminent a été déjoué»: le procureur de la République de Paris, François Molins a confirmé que les terroristes interpellés dans la nuit de samedi à dimanche dernier à Strasbourg et Marseille voulaient frapper la France dès ce jeudi 1er décembre, au nom de l’État islamique. Ils ont été mis en examen et écroués ce vendredi soir pour «association de malfaiteurs en vue de la préparation de crime d’atteinte aux personnes».

Selon les derniers éléments de l’information judiciaire ouverte vendredi pour association de malfaiteurs et détention d’armes en relation avec une entreprise terroriste, cinq suspects sont au cœur d’un projet qualifié par François Molins de «mortifère». François Hollande, en déplacement à Nîmes pour assister à la sortie de deux promotions de gardiens de la paix, a salué le travail des services de renseignement, des policiers et des magistrats qui ont déjoué «une attaque de grande envergure».

Les quatre premiers suspects, interceptés dans le quartier de la Meinau à Strasbourg, sont des amis se connaissant de longue date. En apparence, ils n’ont rien des jeunes de cités fragiles, désœuvrés et en perte de repères qu’enrégimentent habituellement les réseaux terroristes. Yassine B, Français de 37 ans, animateur dans une école et inconnu des services, Icham M, Français de 37 ans, manutentionnaire ayant déjà six condamnations pour des faits de droit commun, Samir B., épicier franco-tunisien de 35 ans condamné à sept reprises et Zakaria M, franco-marocain de 35 ans sans emploi et au casier vierge étaient très prudents. Téléguidés par un donneur d’ordre retranché en zone syro-irakienne, ils communiquaient entre eux en réseau fermé grâce à une ligne spécialement dédiée.

Arsenal et allégeances à Daech découverts

Au même moment, la Direction générale de la sécurité intérieure (DGSI) avait appréhendé à Marseille Icham E., SDF âgé de 38 ans avant que ce dernier ne passe lui aussi à l’acte. Venant de débarquer dans la cité phocéenne, lui seul était connu des services spécialisés. Il avait été signalé pour radicalisation par les autorités du Portugal, où il résidait sous une fausse identité depuis l’automne 2013, après plusieurs voyages suspects dont l’un effectué vers la Turquie d’où il a été refoulé. Selon le procureur Molins, au moins trois des «opérationnels de Daech» ont manifestement eu la velléité de rejoindre la Syrie, notamment via Chypre, pour combattre sous la bannière de l’État Islamique.

Lors des perquisitions, les policiers ont retrouvé un arsenal, dont deux armes de poing de type Sig Sauer et Glock, deux pistolets automatiques, des lots de dizaines de cartouches de calibre 6.35 et 9 mm ainsi que certaines munitions de 38 spécial.

Des éléments saisis à Strasbourg ont en outre, d’après le procureur, «permis de découvrir des écrits très clairs d’allégeance à Daech et glorifiant la mort en martyr».

Une clef USB retrouvée chez Yassin B. recelait deux fichiers mettant en évidence, selon François Molins, la «possibilité d’une somme d’argent» ainsi que les coordonnées GPS d’une cache d’arme. À Marseille, Icham E. disposait de plus de 4281 euros et était sur le point d’acquérir un armement.

Ils envisageaient de se filmer en direct

S’il recevait des «instructions communes» et «précises» délivrées à partir des zones de combat via des applications cryptées, le quatuor de Strasbourg n’avait, au dernier stade des investigations, pas de lien direct avec le suspect de Marseille.

«Les exploitations techniques réalisées sur des éléments saisis lors de perquisitions à Strasbourg ont permis d’établir qu’une action était envisagée par le groupe strasbourgeois le 1er décembre sans qu’on puisse toutefois déterminer à ce stade la cible précise choisie parmi toutes celles que le groupe envisageait», a précisé le procureur, évoquant leur «volonté manifeste de trouver et repérer des cibles pour agir à très court terme».

L’examen du téléphone mobile de Yassine B. a notamment permis de mettre en évidence des recherches sur Google Map de lieux pouvant servir de sites à court terme.

Au total, une dizaine de sites symboliques – et régulièrement évoqués en cas de menace – ont fait l’objet de recherches numériques. Dans ce sordide inventaire à la Prévert, figure selon plusieurs sources le siège de la police judiciaire parisienne au 36 quai des orfèvres, le marché de Noël des Champs-Élysées, le parc d’attractions Disneyland Paris, des terrasses de cafés dans le nord-est de la capitale, une station de métro parisien et plusieurs lieux de cultes. A priori, si aucun repérage opérationnel n’a toutefois été mené, les membres de la cellule démantelée semblaient déterminés. La veille du coup de filet, Yassine B. et Icham M. avaient téléchargé l’application Périscope pour se filmer en direct devant les internautes.

 

http://www.leparisien.fr/faits-divers/attentats-dejoues-qui-sont-les-suspects-interpelles-a-marseille-et-strasbourg-25-11-2016-6375126.php

Attentats déjoués : les cinq suspects écroués

 

>Faits divers|25 novembre 2016, 19h54 | MAJ : 25 novembre 2016, 22h42|14
6364530_6356958-attentat-strasbourg-1000x625_1000x625 dans Attentats

ILLUSTRATION. Les terroristes arrêtés à Strasbourg et Marseille le week-end dernier pourraient avoir voulu attaquer un haut lieu de la police ou un parc d’attraction. Ils ont été écroués. 

REUTERS.

Le profil des cinq hommes soupçonnés d’avoir voulu commettre un attentat le 1er décembre en France et interpellés dans la soirée du 20 novembre, se précise. Ce vendredi, le procureur François Molins a fourni, lors d’une conférence de presse, de plus amples détails sur le parcours des cinq suspects arrêtés le weekend dernier à Strasbourg (Bas-Rhin) et à Marseille (Bouches-du-Rhône) et écroués en fin de journée.

Ces hommes, quatre Français et un Marocain, sont des «opérationnels de Daech, téléguidés à partir de la zone irako-syrienne», a indiqué le procureur. Les quatre Français, âgés de 35 à 37 ans et jusqu’ici inconnus des service anti-terroriste étaient des «amis de longue date» qui «se voyaient régulièrement et communiquaient en réseau fermé», sur une ligne téléphonique dédiée, a expliqué le procureur.

Ils ont été arrêtés à Strasbourg et ne connaissaient pas, d’après les premiers éléments de l’enquête, le suspect marocain arrêté à Marseille. Mais ils disposaient d’instructions communes «communiquées par un donneur d’ordre depuis la zone irako-syrienne», a détaillé le procureur.

empty dans Corruption
  • Yassin B. du commando de Strasbourg

Selon la ministre de l’Education nationale Najat Vallaud-Belkacem, Yassin B, ne présentait «aucun signe de radicalisation» jusqu’ici. Ce célibataire de 37 ans, de nationalité française, était employé depuis plus de dix ans en qualité d’animateur périscolaire dans une école maternelle de Strasbourg. Très apprécié des enfants selon les témoignages de plusieurs parents d’élèves, son casier judiciaire était vierge et il venait d’être titularisé.

C’est à son domicile que les enquêteurs ont mis la main sur un cahier comprenant douze pages d’inscriptions manuscrites faisant référence au djihad armé et à Abou Bakr al-Baghdadi, le chef de Daech et glorifiant la mort en martyr, Un pistolet «Sig-Sauer», un «glock», et des chargeurs, et des dizaines de cartouches ont également été retrouvés. Une clef USB retrouvée chez lui a révélé aux enquêteurs la possibilité d’une livraison de somme d’argent, des coordonnées GPS pour se fournir en armes et en argent.

Le procureur a par ailleurs confirmé qu’il s’était rendu, en mars 2015 et en compagnie de son ami Hicham M. à la frontière turco-syrienne en passant par Chypre, sans toutefois pouvoir dire si les deux hommes avaient réussi à passer la frontière. Une preuve en tout cas de leurs «velléités de rejoindre des groupes terroristes» selon François Molins.

Vidéo. Attentat déjoué : « C’est quelqu’un d’ouvert », témoigne un voisin de Yassin B.

  • Hicham M., du commando de Strasbourg

Hicham M, manutentionnaire de 37 ans arrêté à Strasbourg, avait déjà 6 condamnations à son actif. Chez lui, des écrits portant des menaces claires contre la France ont été retrouvés ainsi qu’un pistolet automatique, un mitrailleur et 60 cartouches. Hicham M., 37 ans également, de nationalité française, manutentionnaire, a six condamnations à son casier. Il s’était rendu, avec Yassin B. à la frontière turco-syrienne en mars 2015.

  • Samy B, du commando de Strasbourg

Arrêté à Strasbourg, Samy B, Franco-Tunisien de 36 ans, était employé dans une épicerie. Il vivait en concubinage et est père de trois enfants. Son casier judicaire portait trace de 7 condamnations.

  • Zaccharia M., du commando de Strasbourg

Zaccharia M., Franco-Marocain de 36 ans, n’avait aucune condamnation à son casier judiciaire. Un pistolet automatique, un pistolet mitrailleur, deux chargeurs et des cartouches ont été retrouvé chez lui à l’occasion des perquisitions du 20 novembre.

  • Hicham E. interpellé à Marseille

Alors que les quatre suspects français étaient interpellés à Strasbourg, Hicham E. était arrêté à Marseille. Ce Marocain de 26 ans résidait au Portugal où, malgré un casier judiciaire vierge, il avait été signalé pour radicalisation par les services de renseignement locaux, après avoir effectué plusieurs voyages suspects en Europe, muni de faux papiers.

Le Marocain avait notamment été renvoyé par les autorités turques en 2015 alors qu’il tentait d’entrer en Syrie. Il était sans domicile fixe en France, a ajouté le procureur. Hicham E. ne connaissaient pas les quatre autres suspects, mais avait reçu les mêmes instructions – notamment de se procurer des armes – de la part du donneur d’ordre basé dans la zone turco-syrienne. Au moment de son interpellation, il était en possession de 4281 euros, somme destinée, selon les enquêteurs, à acheter l’arsenal nécessaire au passage à l’acte. Il est soupçonné d’être le collecteur de fonds de la cellule.

Deux autres suspects relâchés

Au total, sept hommes ont été interpellés le weekend dernier. Deux d’entre eux, Nasser B. et Lamary N. ont été relâchés mardi soir. Ces deux hommes avaient été arrêtés à Marseille avec Hicham E. le suspect marocain installé au Portugal. Ils étaient notamment soupçonnés d’avoir hébergé ce dernier. Nasser B. et Lamary N. s’étaient déjà trouvés dans le viseur des enquêteurs il y a huit mois, au moment de l’Euro de football. Le 14 juin, Nasser B., 38 ans, et Lamary N., 40 ans, étaient interpellés, soupçonnés d’avoir contracté des crédits à la consommation pour financer des activités terroristes. D’après une source proche de l’enquête, ces deux suspects communiquaient «avec un donneur d’ordre établi en Syrie surveillé par les services de renseignement français». Le 14 novembre, l’enquête s’est accélérée quand la DGSI a reçu un renseignement laissant supposer un passage à l’acte imminent.

 

http://www.leparisien.fr/informations/une-cellule-d-amis-teleguidee-de-syrie-26-11-2016-6376782.php

Une cellule d’amis téléguidée de Syrie

 

>|Timothée Boutry|26 novembre 2016, 7h00|0
6376782_1-0-831675628_1000x625 dans Crime

Paris, hier. Lors d’une conférence de presse, François Molins a donné des détails sur le profil des terroristes présumés interpellés la semaine dernière.

 

Timothée Boutry

 

Le dangereux commando de Strasbourg, composé de quatre amis de longue date, a été mis en examen et écroué hier soir, ainsi que le cinquième homme interpellé à Marseille.

 

Avaient-ils prévu de diffuser leurs attaques en direct sur les réseaux sociaux ? Hier midi, François Molins, le procureur de la République de Paris, a révélé que deux des cinq terroristes présumés interpellés la semaine dernière à Strasbourg (Bas-Rhin) et Marseille (Bouches-du-Rhône) avaient récemment téléchargé l’application Periscope, qui permet de retransmettre en direct des images sur Internet. Il y a eu un précédent : Larossi Abballa, l’homme qui a tué un couple de policiers à Magnanville (Yvelines) en juin avant d’être abattu par la police, s’était mis en scène sur l’application Facebook Live au domicile du couple.

Pour le procureur en tout cas, il ne fait pas de doute que le passage à l’acte de cette cellule « téléguidée » depuis la zone irako-syrienne était « imminent ». Les cinq hommes devaient être mis en examen hier pour association de malfaiteurs en relation avec une entreprise terroriste criminelle et écroués.

Les quatre suspects interpellés à Strasbourg sont des amis de longue date. Ils ont quasiment le même âge, entre 35 et 37 ans, et travaillent pour la plupart : animateur dans une école, manutentionnaire ou épicier. Ils sont déjà connus de la justice pour des infractions de droit commun. Mais, cette fois, ils étaient, semble-t-il, sur le point de se lancer dans une attaque « de grande envergure », selon les mots de François Hollande.

Des messages cryptés venus de Syrie

Même si plusieurs armes de poing ont été retrouvées au domicile de deux d’entre eux, les membres du commando de Strasbourg étaient en passe d’en acquérir de nouvelles. Sur une clé USB découverte au domicile de Yassine B., l’animateur périscolaire de l’école de la Meinau, les enquêteurs ont découvert un message avec coordonnées GPS et explications détaillées pour se procurer armes et munitions. Des consignes directement venues par messages cryptés de Syrie, où ce célibataire sans enfant et son camarade Hicham M. sont soupçonnés d’avoir voulu se rendre en mars 2015. Dans un cahier également saisi, Yassine B. a couché sur le papier son allégeance à Daech et sa fascination pour le djihad armé et la mort en martyr. Prudents, les quatre comparses alsaciens ne communiquaient entre eux que via un circuit téléphonique fermé.

A ce stade, les enquêteurs de la Direction générale de la sécurité intérieure (DGSI), qui ont déjoué ce projet d’attentat, n’ont pas découvert de lien direct entre le commando de Strasbourg et Hicham E., l’homme de 26 ans interpellé à Marseille. Mais ils savent que ce SDF de nationalité marocaine qui a effectué plusieurs déplacements en Europe ces dernières années avec de faux papiers avait reçu des consignes du même donneur d’ordres pour s’approvisionner en armes. Lors de son arrestation, ce suspect, refoulé par les autorités turques à l’été 2015, avait en sa possession plus de 4 000 EUR, vraisemblablement destinés à cette funeste acquisition.

Les interrogatoires des cinq suspects permettront peut-être d’en savoir plus sur leurs cibles précises. L’ordinateur de Yassine B. indique que ce dernier a effectué plusieurs recherches sur différents lieux symboliques, notamment à Paris. Le commando de Strasbourg est suspecté d’avoir voulu passer à l’acte le 1 er décembre.

Le Parisien

 

http://www.nicematin.com/justice/attentat-dejoue-cinq-suspects-teleguides-depuis-la-syrie-mis-en-examen-et-ecroues-96652

Attentat déjoué: cinq suspects, téléguidés depuis la Syrie, mis en examen et écroués

 


PAR avec AFP Mis à jour le 26/11/2016 à 08:56 Publié le 26/11/2016 à 08:56
François Molins, procureur de la République de Paris

François Molins, procureur de la République de Paris
Photo DR

Ils étaient téléguidés par le groupe Etat islamique depuis la zone irako-syrienne: cinq hommes, arrêtés le week-end dernier et soupçonnés d’avoir voulu commettre un attentat le 1er décembre en région parisienne, ont été mis en examen vendredi soir et écroués.

 

Après cinq jours de garde à vue, ils ont notamment été mis en examen pour « association de malfaiteurs terroriste en vue de la préparation de crimes d’atteinte aux personnes », a-t-on appris du parquet de Paris.« Une attaque de grande envergure » a été évitée, avait indiqué un peu plus tôt François Hollande, en déplacement à Nîmes, alors que la France est frappée depuis près de deux ans par une vague d’attentats sans précédent ayant fait 238 morts.

Quatre Français âgés de 35 à 37 ans, « amis de longue date », avaient été interpellés le week-end dernier à Strasbourg. Inconnus des services antiterroristes, deux sont soupçonnés d’avoir séjourné en Syrie en 2015.

Quatre armes et « des écrits très clairs d’allégeance à Daech » (Etat islamique) ont été retrouvés lors des perquisitions, d’après le procureur de la République de Paris François Molins.

Le cinquième suspect, Hicham E., Marocain de 26 ans (BIEN 26) arrêté à Marseille, avait été signalé pour radicalisation par les autorités portugaises, pays où il résidait, et s’était fait refouler de Turquie en 2015. Plus de 4.000 euros, destinés, selon les enquêteurs, à l’acquisition d’armes, ont été saisis lors de son interpellation.

Le commando de Strasbourg et le suspect marocain ne se connaissaient pas, d’après les premiers éléments de l’enquête. Mais ils disposaient d’instructions communes « communiquées par un donneur d’ordre depuis la zone irako-syrienne », a détaillé le procureur.

Recherche de cibles

Les hommes de ce réseau étaient « en possession ou en quête d’armes et de financement », « s’apprêtaient à passer à l’acte » et « recherchaient des cibles », a relevé le procureur.

Il a précisé que le passage à l’acte du groupe strasbourgeois était prévu le 1er décembre, « sans que l’on puisse déterminer à ce stade la cible précise choisie ».

L’exploitation des téléphones et ordinateurs retrouvés lors des perquisitions a révélé qu’une dizaine de sites en région parisienne avaient fait l’objet de recherches sur internet.

Autant de cibles potentielles, parmi lesquelles le 36 quai des Orfèvres, siège de la PJ, le marché de Noël des Champs-Élysées, Disneyland Paris, des terrasses de cafés dans le XXe arrondissement, la station de métro Charonne ainsi que plusieurs lieux de cultes.

En garde à vue, un des suspects interpellés à Strasbourg a également évoqué le siège de la PJ parisienne, mais aussi celui de la DGSI à Levallois-Perret (Hauts-de-Seine).

« On ignore encore s’ils prévoyaient une action unique ou des attaques coordonnées », d’après une source proche de l’enquête.

Les investigations ont débuté il y a huit mois.

Le 14 juin, en plein Euro de football, Nasser B., 38 ans, et Lamary N., 40 ans, sont interpellés, soupçonnés d’avoir contracté des crédits à la consommation pour financer des activités terroristes. Les deux hommes sont en contact avec un donneur d’ordre établi en Syrie, lui-même surveillé par les services de renseignement français.

La DGSI décide alors de tendre un appât: elle met en place une cache d’armes dans le Val-d’Oise pendant plusieurs mois, pour tenter d’attirer d’autres membres du réseau susceptibles de passer à l’attaque. En vain.

Le 14 novembre, un message entre le commanditaire et des membres du groupe strasbourgeois est intercepté, laissant craindre un passage à l’acte imminent. La DGSI organise alors, dans l’urgence, l’opération du week-end dernier.

Ce vaste coup de filet est intervenu dans un contexte de menace terroriste maximale en France. « Pour le seul mois de novembre, les services antiterroristes ont procédé à l’arrestation de 43 individus, dont 28 ont été déférés devant la justice », a souligné le chef de l’Etat vendredi.

Selon le ministre de l’Intérieur Bernard Cazeneuve, 17 attentats ont été déjoués depuis le début de l’année, sept en 2015.



« La Fille de Brest » Irène Frachon, lanceuse d’alerte ayant réussi avec le Mediator : sortie du film aujourd’hui

 

 

Le Huffington Post s’interroge sur les raisons de son succès là où tant d’autres lanceurs d’alertes ont échoué et en dresse une liste en oubliant l’essentielle :

ELLE EST FONCTIONNAIRE !!!

 

Un fonctionnaire ne perd pas son job si facilement, surtout au CHU de Brest. Même le plus fautif y garde son poste et les honneurs jusqu’à la retraite si c’est ce qu’il veut.

Le statut de médecin du CHU de Brest est tellement protecteur que contrairement à ce qui se passe ailleurs, notamment à Paris, les médecins du secteur privé se bousculent pour y entrer. Il n’y a que des avantages à exercer au CHU de Brest, surtout pour les médecins les plus mauvais.

Le CHU de Brest est de loin le plus gros employeur local, le président de son Conseil d’administrateur est le maire de la ville et son développement procède d’une volonté politique massivement soutenue par tous les syndicats de fonctionnaires et leur hypersyndicat le NPA (ancienne LCR).

Ce développement se fait au détriment de la santé des Brestois, dont le niveau moyen est très mauvais.

Voir ici :

http://www.adeupa-brest.fr/system/files/publications/442_1_contrat_local_de_sante_du_pays_de_brest_web_2016.pdf

 

http://www.huffingtonpost.fr/2016/11/22/pourquoi-irene-frachon-a-reussi-la-ou-tant-de-lanceurs-dalertes/

« La Fille de Brest » : pourquoi Irène Frachon a réussi avec le Mediator là où tant de lanceurs d’alertes ont échoué

 

« Je suis une privilégiée, je n’ai pas perdu mon job (ou pas encore), je suis une lanceuse d’alerte qui fait un peu envie ».

 

22/11/2016 23:43 CET | Actualisé il y a 18 minutes

SANTÉ – Irène Frachon a réussi un coup de maître. La pneumologue qui s’est battue pour que le Mediator ne soit plus commercialisé et qui se bat encore pour l’indemnisation des victimes fait partie des rares lanceurs d’alerte à avoir gardé son travail, à n’avoir pas subi de poursuites judiciaires et à obtenir gain de cause jusqu’au bout.

Le Mediator, c’est ce médicament coupe-faim produit par le Laboratoire Servier qui était prescrit chez les diabétiques en surpoids et dont Irène Frachon a dénoncé les effets secondaires mortels. S’il est impossible d’établir précisément le nombre de décès liés à l’absorption de Mediator, les chiffres oscillent entre 1500 et 2000 morts

Un destin à faire pâlir d’envie Edward Snowden

En menant ce combat, la pneumologue bretonne n’imaginait pas devenir un jour l’héroïne d’un film. C’est pourtant son histoire vraie qui est au cœur de La Fille de Brest d’Emmanuelle Bercot, en salles mercredi 23 novembre. Son personnage est joué par l’actrice danoise de la série « Borgen », Sidse Babette Knudsen, qui a reçu en 2016 le César de la meilleure actrice dans un second rôle pour le film « L’Hermine ». Excusez du peu.

Le destin d’Irène Frachon pourrait faire pâlir d’envie Edward Snowden, dont la vie est elle aussi sur les écrans, dans l’excellent film d’Oliver Stone. Ce lanceur d’alerte-là n’a pas eu la chance de la pneumologue, loin s’en faut. L’ancien employé des services secrets américains révélait en 2013 que la NSA s’employait à surveiller massivement ses compatriotes et le monde entier. En guise de réponse, il a été mis en cause pour espionnage, vol et utilisation illégale de biens gouvernementaux. Son passeport est invalidé, il est coincé un mois à l’aéroport de Moscou, la Russie finit par lui accorder l’asile. Si nombre d’Américains perçoivent Snowden comme un lanceur d’alerte et non comme un traître, le parcours de l’ingénieur n’a rien d’enviable. Son avenir dépend de l’autocrate Vladimir Poutine, et il n’est pas près d’être grâcié. Il a toutefois obtenu le vote en juin 2015 du « USA Freedom Act » qui met fin à la collecte de métadonnées téléphoniques sur le sol américain par la NSA.

Irène Frachon n’a pas eu droit à toutes ces étapes de roman d’espionnage. Elle le dit elle-même au HuffPost dans la vidéo ci-dessus:

« Je suis une privilégiée, je n’ai pas perdu mon job (ou pas encore), je suis une lanceuse d’alerte qui fait un peu envie, dans le sens où j’ai réussi. Beaucoup de lanceurs d’alerte me demandent comment j’ai fait et ma réponse est terrible: ’2000 morts’. J’ai réussi à obtenir 2800 avis d’indemnisation pour les victimes du Mediator, c’est tout ce qui m’intéresse. »

Nous avons essayé de reconstituer la recette qu’a utilisé Irène Frachon pour passer à travers les mailles du filet. Voici 4 règles qu’elle a suivies. Attention, elles ne sont pas d’or.

1. S’attaquer à un gros poisson, pas à l’océan

La pneumologue s’est attaquée à un secteur, la santé, où d’autres scandales sanitaires avaient éclaté avant le Mediator. On pense aux affaires de l’amiante, du distilbène, du chlordécone, de l’hormone de croissance, de l’Isoméride et du sang contaminé. La santé est un secteur sensible en France et ailleurs, ses lanceurs d’alerte sont perçus comme des bienfaiteurs. De même, il est plus aisé de s’attaquer à un laboratoire qu’à un gouvernement, même si des liens forts entre Servier et le personnel politique français ont été établis et expliquent en partie la longue vie du Mediator.

Edward Snowden s’est mis à dos le gouvernement de la première puissance mondiale, tout comme Julian Assange et Wikileaks, qui narguaient Hillary Clinton pendant la présidentielle depuis l’ambassade de l’Equateur à Londres, de laquelle il ne peut sortir. De son côté, le Français Antoine Deltour s’est contenté du Luxembourg, mais par ricochets, il a aussi touché de nombreuses multinationales. En 2012, il a révélé les accords fiscaux passés entre le Grand Duché et les entreprises pour leur permettre de réduire leurs impôts par le biais de filiales. Il a écopé de 12 mois de prison avec sursis. Plus prudent, la source des « Panama Papers » ne s’est toujours pas fait connaître. On apprend en marchant.

2. Emporter avec soi des informations en béton

La force d’Irène Frachon et des lanceurs d’alerte qui séduisent l’opinion publique, c’est la qualité de leurs informations. La pneumologue a enquêté pendant des mois avec des collègues pour obtenir des données tangibles et démontrer la nocivité du Mediator. Le film « La Fille de Brest » met très bien cela en scène.

Elle a aussi bénéficié d’une « taupe » à la Caisse nationale d’assurance maladie. Elle l’a surnommé « Le père Noël ». Il croise des fichiers, retrouve les patients aux valves cardiaques abîmées et découvre que, parmi eux, 150 personnes au moins sont chaque année hospitalisées pour une « toxicité sévère au Mediator ».

On ne se lance pas tout seul et sans filet dans une croisade contre l’ordre établi.

3. Conserver une démarche sincère et authentique

Ce qui auréole les lanceurs d’alerte et les protège d’un sort incertain, c’est la sincérité de leurs propos. Celle d’Irène Frachon n’a jamais été remise en cause. Elle a consacré près de 10 ans de sa vie à la cause des malades du Mediator, délaissant sa famille. Sa plus jeune fille le lui reproche encore, confie-t-elle dans Le Monde.

Le seul bénéfice qu’elle ait pu tirer de cette affaire, c’est la vente de son livre dont le sous-titre « Combien de morts? » a été censuré au départ, puis réhabilité. Elle a publié début 2016 un autre ouvrage intitulé « Effets secondaires: le scandale français », coécrit avec le journaliste Jean-Christophe Brisard et l’avocat Antoine Béguin.

Mais cet indice de la sincérité n’est pas le plus fiable. Stéphanie Gibaud peut en témoigner. Celle qui a refusé d’effacer de son disque dur les fichiers de la banque UBS contenant le nom des clients et des chargés d’affaires qui prouvaient le démarchage illégal de clients français par la Suisse, a certes obtenu un dédommagement de 30.000 euros de la part de la banque, mais elle vivrait aujourd’hui avec les minima sociaux, ne trouvant plus d’emploi et risquant l’expulsion de son logement.

La sincérité d’Edward Snowden n’est pas non plus sujette à caution. Tout comme celle d’Antoine Deltour, souvent présenté comme un chevalier blanc discret.

A l’inverse, le cas d’Hervé Falciani a suscité la controverse. Il a été accusé de vouloir vendre à une autre banque la liste des 9000 résidents fiscaux français évadés en Suisse auprès d’une filiale de la banque HSBC. L’affaire Swissleaks s’est résolue en 2015 par une condamnation d’Hervé Falciani à cinq ans de prison par la justice suisse. Qu’il ne fera pas, s’il ne met plus les pieds en Suisse ou dans les pays qui ont conclu des accords d’extradition avec les Hélvètes. En attendant, le personnage d’Hervé Falciani n’a pas remporté l’adhésion nécessaire pour s’inscrire en véritable héros.

4. Se créer des relais d’opinion solides

La presse joue un rôle primordial dans la construction des personnages des lanceurs d’alerte. Plus le portrait est étoffé, plus ils sont susceptibles d’être protégés. Irène Frachon l’a bien compris quand elle a souhaité relancer l’affaire du Mediator que les autorités de santé poussaient discrètement sous le tapis. Elle a contacté personnellement une journaliste spécialisée en santé au Figaro, pour disposer d’un relais fiable et influent. De la même manière, Edward Snowden a d’abord contacté des journalistes du Guardian et du Washington Post.

La notoriété acquise par Irène Frachon a suscité des vocations. La pneumologue explique au HuffPost que sa réussite dans l’affaire du Mediator a donné des ailes à ceux qui n’osaient pas se lancer. C’est par exemple le cas de Marine Martin et du scandale de la Dépakine, un antiépiléptique à l’origine de malformations sur le fœtus lorsqu’il est pris pendant la grossesse. « Elle m’a raconté s’être dit ‘maintenant je peux y aller’ », se félicite la Brestoise.

A vous qui sentez le potentiel du scandale que vous avez peut-être sous la main, vous l’aurez compris, vous pouvez « y aller », mais en assurant au mieux vos arrières. Car le vent tourne vite.

 

Lire aussi :

Lanceurs d’alerte: l’Assemblée crée un statut au sein du renseignement français

Lanceurs d’alerte, le jackpot?

Lanceurs d’alerte français : les visages de la nouvelle vague?

 



Après Flavie Flament, trois nouvelles femmes accusent David Hamilton de viols sur mineures

Le pervers  polymorphe Pascal Edouard Cyprien Luraghi, dit Cyp, va encore pouvoir se déchaîner sur des victimes…

Pour mémoire (cliquer sur l’image pour l’agrandir et lire le texte) :

Capture d’écran 2016-11-20 à 12.00.28

 

 

Une des victimes présumées de David Hamilton s’étant vu demander une consignation d’un montant tout à fait dissuasif de 30.000 francs pour se constituer partie civile, il convient de préciser que cette pratique, fort répandue chez les doyens des juges d’instruction qui en décident dans tous les cas où ils s’opposent à l’ouverture d’une information judiciaire sans disposer d’aucun motif valable pour ce faire, est parfaitement illégale.

Le code de procédure pénale leur impose en effet de fixer le montant de la consignation de la partie civile en fonction des ressources de celle-ci à l’exclusion de toute autre considération.

Il faut aussi savoir que la victime peut faire appel de l’ordonnance du juge d’instruction ayant fixé le montant de sa consignation, mais que pour autant, celle-ci ne sera pas nécessairement retoquée comme elle devrait l’être par la chambre de l’instruction de la cour d’appel idoine, une formation de trois magistrats qui trop souvent refuse de faire le travail de contrôle des juges d’instruction qui lui est assigné et se comporte comme une simple chambre d’enregistrement de leurs délires les plus flagrants.

A ce niveau-là, la victime a encore comme recours de former un pourvoi en cassation contre la décision de la chambre de l’instruction ayant confirmé l’ordonnance du juge d’instruction, mais l’ensemble de ces procédures étant très long et assez coûteux lorsque le recours à un avocat s’avère nécessaire, elle a bien souvent abandonné en cours de route.

Elle devrait pouvoir porter plainte directement contre le juge d’instruction pour délit d’entrave à la justice ou crime spécifique de complicité criminelle pour un magistrat, celui-ci étant manifestement corrompu, peu importe comment : argent, avantages en nature ou moeurs – violeurs et pédophiles se soutiennent entre eux.

A noter : les commentaires de Cyprien Luraghi défendant Roman Polanski pour son affaire de viol sur mineure sur le site Rue89 en 2009 ne s’y trouvent plus aujourd’hui tandis que le blog « Puy-l’Evêque » où ils avaient été rapportés en 2013 a été supprimé par son hébergeur pour apologie de la pédophilie le 8 janvier 2015, après l’attentat contre Charlie Hebdo.

On rappelle également que son fervent supporter et complice l’adepte de pratiques échangistes et sado-masochistes de Béziers NEMROD34 fréquente assidûment la station balnéaire du Cap d’Agde, en soirée selon ses dires.

 

 

http://tempsreel.nouvelobs.com/societe/20161116.OBS1313/affaire-flavie-flament-d-autres-femmes-accusent-david-hamilton-de-viol.html

Affaire Flavie Flament : d’autres femmes accusent David Hamilton de viol

 

Affaire Flavie Flament : d'autres femmes accusent David Hamilton de viol
Le photographe britannique David Hamilton lors du vernissage d’une des ses expositions, dans les années 1970. (Jack Nisberg / Roger-Viollet)

 

EXCLUSIF. Après les accusations de Flavie Flament dans son livre – que le photographe britannique David Hamilton a récusées dans un communiqué –, « l’Obs » a recueilli les témoignages de nouvelles femmes.

 

Emmanuelle AnizonPublié le 17 novembre 2016 à 07h00

 

Flavie Flament, dans un livre publié ces jours-ci (« la Consolation », Ed. JC Lattès), explique avoir été violée par un photographe « mondialement connu », quand elle avait 13 ans. Elle n’a pas prononcé son nom, mais celui-ci a vite circulé sur les réseaux sociaux : David Hamilton. Deux autres femmes ont raconté à « l’Obs » avoir été victimes du même photographe. Au même endroit. Le Cap d’Agde. Au milieu des années 80. Et dans des circonstances similaires.

Elles étaient en famille, en vacances dans le village naturiste. Alice*, 14 ans, était sur la terrasse de son appartement du rez-de-chaussée, quand le cinquantenaire souriant vient lui proposer de faire un essai. Lucie*, 13 ans, était sur la plage avec ses parents.

A cette époque, tout le monde connaît David Hamilton au Cap d’Agde. Il y a acheté un appartement. On le voit chaque jour, accompagné d’une fille, immanquablement très jeune, blonde, fine et jolie, arpenter la plage à la recherche de modèles. Ses posters se vendent dans le monde entier, et ses cartes postales sont exposées dans tous les présentoirs de la station balnéaire.

« Etre remarquée par lui, c’était être élue ! », se souviennent-elles.

« Quand il nous a proposé de faire un essai, mon père était tellement fier, ses yeux brillaient ! », soupire Alice.

Toujours le même mode opératoire

Les séances photo ont lieu dans son petit appartement de bord de plage. La première fois, le père d’Alice reste sur la terrasse. « David me soufflait dans l’oreille : ‘Tu sais garder un secret ?’ J’étais très mal à l’aise et très intimidée », se souvient Alice. Le père repart, rassuré. Surtout que le photographe vit avec sa jeune et très jolie femme Gertrude, chaleureuse et enjouée. Un de ses modèles. La séance suivante se fait donc, naturellement, sans les parents. Sans Gertrude, qui s’éclipse. Et sans assistant, David Hamilton travaillant toujours seul.

Après Flavie Flament, trois nouvelles femmes accusent David Hamilton de viols sur mineures dans Attentats 15642146

La une du journal « Hérault Tribune », datée du 27 août 1977. (Hérault Tribune)

Alice et Lucie racontent alors le même mode opératoire que celui décrit par Flavie Flament dans son livre : des caresses qui dérapent, cette tête soudainement entre leurs jambes, des pénétrations… Et leur sidération. « Pourquoi je ne me suis pas enfuie, débattue ? », se demande encore Lucie. « J’étais pétrifiée. » « Je suis restée figée, passive, incapable de réagir », raconte Alice. Il me disait après :

« Tu as de la chance, je t’ai choisie, alors que tu n’es pas si belle ! Les autres adorent que je le leur fasse. »

Et comme Flavie Flament, les deux femmes racontent être rentrées chez elles, sans rien dire à leurs parents. « La culpabilité », « la honte »…

Lucie soupire : « Comment expliquer que j’avais laissé faire ? » Alice sent « bien que ce n’est pas normal. Mais je pensais que mes parents seraient tellement déçus si j’arrêtais les photos ». Lucie demande à ses parents d’arrêter les photos, au bout de deux séances. Alice, elle, y retourne, plusieurs étés de suite. « Sous emprise », dit-elle.

« Il se sert de nous encore »

Longtemps, elles se sont tues. « J’ai pensé que j’allais oublier, raconte Alice. Mais ça a eu de grosses conséquences sur ma vie sexuelle. Et j’avais des envies de suicide. » En 1997, dix ans après les faits, elle porte plainte. Une confrontation avec David Hamilton a lieu. Il nie. La plainte est classée sans suite. Alice veut poursuivre, se porte partie civile, la justice lui demande alors « 30.000 francs de consignation », une somme énorme pour la jeune maman.

« Je me suis dit qu’il était trop protégé, que le combat était perdu d’avance, que j’allais y perdre ma vie. »

Elle abandonne. Les années passent. Alice et Lucie se construisent une vie. Le souvenir est là, disent-elles, dans leur chair, dans ces blocages qu’elles gardent pour elles, dans ces peurs qu’elles déversent sporadiquement chez tel ou tel psy. Régulièrement, sur le web, dans des expositions, elles voient ressurgir ces photos d’elles, nues. Et parfois, le sexe apparent. Lucie en a fait des captures d’écran, nous les montre sur son portable, rageuse : « C’est insupportable de voir qu’il se sert de nous encore ! Regardez ces regards ! Ah ces fameux regards mélancoliques hamiltoniens ! Mais vous savez maintenant pourquoi ils étaient mélancoliques  ! »

Elles disent aussi toutes les deux qu’elles vérifiaient régulièrement sur le web ce qu’il devenait. « J’espérais qu’il soit mort », avoue Lucie. Alice au contraire, espérait « qu’il soit vivant, pour qu’on puisse le démasquer avant sa mort ».

Le silence du photographe

Et puis, en ce mois d’octobre, la télé parle de Flavie Flament et de son livre. Trop de ressemblances. Le passé les assaille. Alice contacte timidement l’animatrice radio via son Facebook. Elles se parlent. Flavie Flament réalise qu’elle est passée à l’époque chez Alice avec sa mère, avant ses premières séances photo, pour être rassurée. Le père d’Alice avait même vanté la gentillesse du photographe. Lucie contacte Flavie de son côté. Découvre qu’elle connaît Alice, retrouve même des photos où elles ont posé ensemble. Elles sont donc trois maintenant.

« Plus nous serons nombreuses, plus nous serons fortes », se félicite Flavie Flament.

Mais fortes pour faire quoi ? David Hamilton, qui a maintenant 83 ans, a réagi dans un communiqué quand son nom a commencé à circuler. Il s’est dit « particulièrement indigné par l’absence totale de respect de sa présomption d’innocence », et a précisé qu’il  »ne commentera pas plus amplement les comportements criminels qui lui sont imputés par certains et desquels il n’a jamais été l’auteur ». Après plusieurs tentatives pour le joindre, sans réponse, et un message écrit laissé sous sa porte, David Hamilton nous a appelés le 15 novembre pour nous dire qu’il refusait de répondre à nos questions, et qu’il n’avait rien à dire de plus que dans son communiqué.

Alors ? Alors, Flavie, Alice et Lucie peuvent porter plainte. Mais les viols sur mineur sont prescrits après 30 ans. « On espère que d’autres témoignages arriveront, et peut-être des plus récents ! », explique l’animatrice.

Une quatrième femme s’est manifestée. Nous l’avons eue au téléphone. Elle affirme avoir été violée à 14 ans, en 1967, soit vingt ans plus tôt que les faits décrits précédemment. Pas au Cap d’Agde, mais à Ramatuelle, dans la maison que le photographe possède, et où il séjourne encore souvent aujourd’hui.

Emmanuelle Anizon (eanizon@nouvelobs.com)

(*) Les prénoms ont été modifiés

Emmanuelle Anizon

Emmanuelle Anizon

Journaliste

 

 

http://www.liberation.fr/france/2016/11/18/affaire-flavie-flament-combien-de-david-hamilton_1529358

Affaire Flavie Flament : combien de David Hamilton ?

 

Par Johanna Luyssen — 18 novembre 2016 à 17:48
Flavie Flament, le 4 septembre 2014, à Paris/ AFP

  • Affaire Flavie Flament : combien de David Hamilton ?

Flavie Flament a fini par révéler le nom du photographe qu’elle accuse de viol. C’était dans les années 80, au Cap d’Agde. Les faits sont prescrits mais les souvenirs ont reflué. Dans un ouvrage récent, La Consolation, elle décrit la scène, mais sans donner le nom de son agresseur. Elle espère surtout, dit-elle, que d’autres victimes prennent la parole à sa suite et déposent plainte sans craindre le délai de prescription. Son témoignage en a entraîné d’autres. Deux femmes accusent alors le photographe David Hamilton de viol. Même endroit, même époque. L’étau se resserre autour du photographe. Ce dernier nie alors vigoureusement, invoquant, indigné, «la présomption d’innocence» (ce qui est curieux car il n’est pas poursuivi).

Et puis, vendredi, dans L’Obs, l’animatrice livre le nom. Confirme la rumeur. Accuse et nomme : David Hamilton. C’est une parole qui se libère. Des mots qui affluent. Cela arrive souvent en ce moment. Souvenons-nous de la pluie de témoignages, aux Etats-Unis, des victimes de Bill Cosby ; en France, des récits des accusatrices de Denis Baupin, ou des témoignages des victimes du prêtre pédocriminel Bernard P., à Lyon, réunies en une association, la bien nommée La Parole libérée.

 dans Corruption

Edition du New York Magazine du 9 août 2015, où 35 victimes de Cosby posent en couverture.

Nous avons lu le récit de la fille de Woody Allen, ses accusations d’agression sexuelle. Nous avons été abasourdis. Cosby, Hamilton, Allen… Avant cela, DSK… Qui d’autre, ensuite ? Une question surgit dans cette lancinante litanie de noms rich and famous. Pourquoi tant d’affaires «à la David Hamilton»? Mais, surtout : pourquoi ces crimes tardent-ils tant à faire surface ? Il y a, naturellement, des violeurs dans toutes les classes sociales – la chose est d’une triste universalité. Mais pourquoi ces personnalités, souvent célèbres, riches et prestigieuses, sont-elles incriminées si tard ? Exonère-t-on plus facilement les criminels parce qu’ils ont du talent ? Doit-on incriminer l’époque dans laquelle les faits ont survenu, et déplorer un temps où l’on était plus indulgent ? Mais en ce cas, pourquoi, en France, condamne-t-on davantage les criminels sexuels issus des classes populaires ? De quelles complaisances sociales sommes-nous coupables ?

Pourquoi a-t-il fallu attendre la mort de l’animateur-star britannique Jimmy Savile avant d’apprendre qu’il avait violé, pendant soixante ans, près de 300 enfants ? Et Roman Polanski ? Et Fatty Arbuckle, poursuivi pour le viol et le meurtre de la jeune actrice Virginia Rappe ? Lors du procès dont il fut acquitté, en 1922, on déplora la fin de la carrière, brisée net par le «scandale». Sa victime, elle, était morte.

Pourquoi doit-on attendre que Tippi Hedren ait 86 ans avant qu’elle écrive avoir été harcelée sexuellement par Hitchcock sur le tournage des Oiseaux ? En France comme ailleurs, la culture du viol reste une réalité. Une chose est sûre : Flavie Flament a parlé. D’autres victimes de crimes sexuels, comme elle, ont des choses à dire. Soyons capables de les écouter – à temps cette fois.

Johanna Luyssen



Très prolifique « Les Chats », ancienne riveraine de Rue89

Avant de poursuivre mon étude des commentaires de la riveraine « Les Chats » sur le site Rue89, je fais une petite pause comptage et statistiques sur ceux déjà affichés, du 11 décembre 2007 jusqu’au 30 juin 2008, soit :

 

2007

Décembre : 222 évènements, 114 commentaires publics

2008

Janvier : 221 évènements, 92 commentaires publics

Février : 747 évènements, 286 commentaires publics

Mars : 1784 évènements, 654 commentaires publics

Avril : 1587 évènements, 629 commentaires publics

Mai : 1618 évènements, 607 commentaires publics

Juin : 1174 évènements, 473 commentaires publics

 

Total : 7353 évènements, 2855 commentaires publics

Taux de dépublication : 61,17%

 

Les commentaires toujours publics pour cette période de six mois et demi représentent près de la moitié de la totalité de ces commentaires de la riveraine « Les Chat » jusqu’au 29 septembre 2009, soit pour une période de près de deux ans (moins deux mois et demi).

La printemps 2008 correspond à l’arrivée sur le site Rue89 de nombreux autres militants politiques dont environ une centaine se retrouveront à compter du 12 juillet 2008 sur le forum privé dénommé « Le Coin de la Rue ». Le blogueur Cyprien Luraghi en fait partie.

 

En détail :

 

2008

Juin : 1174 évènements, 473 commentaires publics

30/06/2008, 9 évènements, 9 commentaires publics

29/06/2008, 69 évènements, 27 commentaires publics

28/06/2008, 13 évènements, 13 commentaires publics

27/06/2008, 6 évènements, 2 commentaires publics

26/06/2008, 3 évènements, 3 commentaires publics

25/06/2008, 4 évènements, 4 commentaires publics

24/06/2008, 36 évènements, 13 commentaires publics

23/06/2008, 56 évènements, 23 commentaires publics

22/06/2008, 50 évènements, 23 commentaires publics

21/06/2008, 61 évènements, 27 commentaires publics

20/06/2008, 24 évènements, 12 commentaires publics

19/06/2008, 2 évènements, 2 commentaires publics

18/06/2008, 54 évènements, 18 commentaires publics

17/06/2008, 3 évènements, 3 commentaires publics

16/06/2008, 51 évènements, 17 commentaires publics

15/06/2008, 60 évènements, 23 commentaires publics

14/06/2008, 5 évènements, 5 commentaires publics

13/06/2008, 51 évènements, 17 commentaires publics

12/06/2008, 3 évènements, 3 commentaires publics

11/06/2008, 23 évènements, 9 commentaires publics

10/06/2008, 6 évènements, 6 commentaires publics

09/06/2008, 45 évènements, 15 commentaires publics

08/06/2008, 69 évènements, 23 commentaires publics

07/06/2008, 102 évènements, 34 commentaires publics

06/06/2008, 114 évènements, 38 commentaires publics

05/06/2008, 63 évènements, 21 commentaires publics

04/06/2008, 17 évènements, 17 commentaires publics

03/06/2008, 74 évènements, 25 commentaires publics

02/06/2008, 65 évènements, 29 commentaires publics

01/06/2008, 36 évènements, 12 commentaires publics

 

Mai : 1618 évènements, 607 commentaires publics

31/05/2008, 60 évènements, 20 commentaires publics

30/05/2008, 54 évènements, 18 commentaires publics

29/05/2008, 11 évènements, 11 commentaires publics

28/05/2008, 48 évènements, 16 commentaires publics

27/05/2008, 1 évènement, 1 commentaire public

25/05/2008, 48 évènements, 16 commentaires publics

24/05/2008, 2 évènements, 2 commentaires publics

23/05/2008, 59 évènements, 20 commentaires publics

22/05/2008, 73 évènements, 26 commentaires publics

21/05/2008, 2 évènements, 2 commentaires publics

20/05/2008, 41 évènements, 14 commentaires publics

19/05/2008, 47 évènements, 16 commentaires publics

18/05/2008, 78 évènements, 26 commentaires publics

17/05/2008, 57 évènements, 19 commentaires publics

16/05/2008, 78 évènements, 26 commentaires publics

15/05/2008, 14 évènements, 7 commentaires publics

14/05/2008, 15 évènements, 15 commentaires publics

13/05/2008, 24 évènements, 8 commentaires publics

12/05/2008, 82 évènements, 28 commentaires publics

11/05/2008, 81 évènements, 27 commentaires publics

10/05/2008, 86 évènements, 37 commentaires publics

09/05/2008, 48 évènements, 16 commentaires publics

08/05/2008, 98 évènements, 39 commentaires publics

07/05/2008, 91 évènements, 34 commentaires publics

06/05/2008, 78 évènements, 26 commentaires publics

05/05/2008, 74 évènements, 30 commentaires publics

04/05/2008, 112 évènements, 47 commentaires publics

03/05/2008, 53 évènements, 18 commentaires publics

02/05/2008, 93 évènements, 32 commentaires publics

01/05/2008, 10 évènements, 10 commentaires publics

 

Avril : 1587 évènements, 629 commentaires publics

30/04/2008, 69 évènements, 23 commentaires publics

29/04/2008, 39 évènements, 13 commentaires publics

28/04/2008, 5 évènements, 5 commentaires publics

27/04/2008, 4 évènements, 4 commentaires publics

26/04/2008, 71 évènements, 26 commentaires publics

25/04/2008, 64 évènements, 25 commentaires publics

24/04/2008, 40 évènements, 20 commentaires publics

23/04/2008, 13 évènements, 13 commentaires publics

22/04/2008, 39 évènements, 13 commentaires publics

21/04/2008, 5 évènements, 5 commentaires publics

20/04/2008, 60 évènements, 20 commentaires publics

19/04/2008, 45 évènements, 15 commentaires publics

18/04/2008, 24 évènements, 9 commentaires publics

16/04/2008, 12 évènements, 12 commentaires publics

15/04/2008, 100 évènements, 34 commentaires publics

14/04/2008, 9 évènements, 9 commentaires publics

13/04/2008, 45 évènements, 15 commentaires publics

12/04/2008, 137 évènements, 51 commentaires publics

11/04/2008, 154 évènements, 55 commentaires publics

10/04/2008, 21 évènements, 9 commentaires publics

09/04/2008, 45 évènements, 21 commentaires publics

08/04/2008, 70 évènements, 32 commentaires publics

07/04/2008, 88 évènements, 38 commentaires publics

06/04/2008, 42 évènements, 15 commentaires publics

05/04/2008, 140 évènements, 51 commentaires publics

04/04/2008, 69 évènements, 24 commentaires publics

03/04/2008, 92 évènements, 33 commentaires publics

02/04/2008, 13 évènements, 13 commentaires publics

01/04/2008, 72 évènements, 26 commentaires publics

 

Mars : 1784 évènements, 654 commentaires publics

31/03/2008, 15 évènements, 5 commentaires publics

30/03/2008, 91 évènements, 33 commentaires publics

29/03/2008, 63 évènements, 21 commentaires publics

28/03/2008, 99 évènements, 33 commentaires publics

27/03/2008, 56 évènements, 19 commentaires publics

25/03/2008, 51 évènements, 17 commentaires publics

24/03/2008, 67 évènements, 23 commentaires publics

23/03/2008, 136 évènements, 54 commentaires publics

22/03/2008, 13 évènements, 13 commentaires publics

21/03/2008, 48 évènements, 16 commentaires publics

20/03/2008, 59 évènements, 22 commentaires publics

19/03/2008, 79 évènements, 28 commentaires publics

18/03/2008, 87 évènements, 30 commentaires publics

17/03/2008, 121 évènements, 41 commentaires publics

16/03/2008, 144 évènements, 48 commentaires publics

15/03/2008, 60 évènements, 21 commentaires publics

14/03/2008, 13 évènements, 13 commentaires publics

13/03/2008, 51 évènements, 17 commentaires publics

12/03/2008, 57 évènements, 19 commentaires publics

11/03/2008, 54 évènements, 18 commentaires publics

10/03/2008, 37 évènements, 13 commentaires publics

09/03/2008, 88 évènements, 33 commentaires publics

08/03/2008, 70 évènements, 25 commentaires publics

07/03/2008, 79 évènements, 28 commentaires publics

06/03/2008, 11 évènements, 11 commentaires publics

05/03/2008, 7 évènements, 7 commentaires publics

04/03/2008, 2 évènements, 2 commentaires publics

02/03/2008, 70 évènements, 25 commentaires publics

01/03/2008, 56 évènements, 19 commentaires publics

 

Février : 747 évènements, 286 commentaires publics

29/02/2008, 71 évènements, 24 commentaires publics

28/02/2008, 42 évènements, 15 commentaires publics

27/02/2008, 86 évènements, 32 commentaires publics

26/02/2008, 60 évènements, 22 commentaires publics

25/02/2008, 117 évènements, 39 commentaires publics

24/02/2008, 114 évènements, 38 commentaires publics

23/02/2008, 84 évènements, 28 commentaires publics

22/02/2008, 68 évènements, 24 commentaires publics

21/02/2008, 45 évènements, 19 commentaires publics

19/02/2008, 29 évènements, 14 commentaires publics

17/02/2008, 3 évènements, 3 commentaires publics

16/02/2008, 9 évènements, 9 commentaires publics

12/02/2008, 7 évènements, 7 commentaires publics

09/02/2008, 1 évènement, 1 commentaire publics

08/02/2008, 4 évènements, 4 commentaires publics

02/02/2008, 3 évènements, 3 commentaires publics

01/02/2008, 4 évènements, 4 commentaires publics

 

Janvier : 221 évènements, 92 commentaires publics

30/01/2008, 33 évènements, 11 commentaires publics

29/01/2008, 105 évènements, 35 commentaires publics

28/01/2008, 2 évènements, 2 commentaires publics

26/01/2008, 2 évènements, 2 commentaires publics

25/01/2008, 5 évènements, 5 commentaires publics

24/01/2008, 1 évènement, 1 commentaire public

23/01/2008, 36 évènements, 14 commentaires publics

22/01/2008, 7 évènements, 7 commentaires publics

18/01/2008, 28 évènements, 13 commentaires publics

09/01/2008, 2 évènements, 2 commentaires publics

 

2007

Décembre : 222 évènements, 114 commentaires publics

31/12/2007, 2 évènements, 2 commentaires publics

30/12/2007, 4 évènements, 4 commentaires publics

29/12/2007, 36 évènements, 12 commentaires publics

27/12/2007, 35 évènements, 12 commentaires publics

26/12/2007, 10 évènements, 10 commentaires publics

25/12/2007, 26 évènements, 12 commentaires publics

23/12/2007, 6 évènements, 6 commentaires publics

22/12/2007, 1 évènement, 1 commentaire public

19/12/2007, 5 évènements, 5 commentaires publics

18/12/2007, 30 évènements, 10 commentaires publics

16/12/2007, 8 évènements, 8 commentaires publics

15/12/2007, 4 évènements, 4 commentaires publics

13/12/2007, 20 évènements, 8 commentaires publics

12/12/2007, 11 évènements, 11 commentaires publics

11/12/2007, 24 évènements, 9 commentaires publics



1...106107108109110...214

Le Club des Jeunes |
Collectif citoyen de Monfla... |
JCM Consultant |
Unblog.fr | Créer un blog | Annuaire | Signaler un abus | Hug Lo
| Reelnew
| coachingmeteo