SwissLeaks: derrière le scandale, Hervé Falciani

Chevalier blanc pour les uns, escroc cynique pour les autres, et si cet homme-là était tout simplement un être multiple et complexe, d’abord mu par un extraordinaire opportunisme… ? Portrait.

Temps de lecture: 15 min

Hervé Falciani a endossé différents rôles, se complaît dans un langage abscons, pour mieux se cacher, peut-être, mais il a su, surtout, nager en eaux troubles, rebondir à chaque épreuve, profiter de toutes les possibilités qui se sont offertes à lui. Il a été successivement informaticien, détrousseur de données sensibles, justicier, mythomane, manipulateur, lanceur d’alerte, à la fois coupable et victime du système, allez vous y retrouver… Mais Hervé Falciani est d’abord, et cela, personne ne peut lui enlever, le pivot de l’incroyable affaire HSBC. Son géniteur. Après cinq années d’enquête, la lecture de milliers d’archives confidentielles, de témoignages inédits, Le Monde a pu reconstituer la vraie vie de Falciani, devenu le cauchemar vivant de la HSBC Private Bank de Genève.

Longtemps, pour ses interlocuteurs français les plus secrets, il s’est appelé Ruben Al-Chidiack, refusant de se dévoiler plus avant. A Genève, en revanche, il a toujours été Hervé Falciani, pour tous ses collègues, amis, conquêtes d’un soir. Joyeux drille, fêtard. Un informaticien de bon niveau, aussi, débauché le 14 mars 2006 par HSBC PB Genève auprès de la succursale monégasque du géant bancaire britannique. Croupier de casino de 1992 à 2000, marié deux fois, père d’une petite fille, à nouveau au bord du divorce au moment de son embauche. Un sacré personnage, hâbleur, malin. Dragueur, flambeur, joueur de poker patenté. A la piscine de Carouge, où il aligne les longueurs, il est bien connu pour sa propension à séduire la gent féminine. A la jeune Doina, il raconte par exemple qu’il vit séparé et élève une fille autiste. La relation capote quand Falciani veut aller plus loin. Même principe pour Myriam, une accorte étudiante en philosophie, rencontrée lors d’un tournoi de poker. A elle aussi, il ment abondamment sur sa vie.

Interrogées par les enquêteurs suisses, les jeunes femmes le décrivent comme « manipulateur ». D’autant qu’il entretient déjà une relation sentimentale suivie avec l’une de ses collègues, la Franco-Libanaise Georgina Mikhael, une jolie brune, menue, aux longs cheveux, aux yeux d’un marron profond, 31 ans, tombée sous son charme en décembre 2006, elle aussi autour d’une table de poker.

Bref, pas forcément le genre de type à qui l’on confie les secrets de l’une des plus puissantes banques mondiales privées, où le ticket d’entrée pour ouvrir un compte est fixé à un million de dollars. Et pourtant, c’est bien cet homme aux multiples secrets qui se retrouve là, dans le saint des saints, en ce printemps 2006.

On lui confie très vite une mission essentielle, mettre en place un outil dénommé Customer Relationship Management (CRM), censé faciliter les échanges entre la banque et ses clients. A Monaco, il avait su exécuter cette tâche avec brio. Le boulot est simple, mais fastidieux, usant : faire transiter les données du vieux système informatique, Sific, sur lequel sont répertoriés tous les détails des détenteurs de comptes, vers le nouveau procédé, ce fameux CRM.

C’est la grande affaire du moment, chez HSBC, en 2006 : il faut professionnaliser le système. Aujourd’hui, avec le recul, tous les employés de la banque, interrogés par Le Monde ou par les enquêteurs, sont persuadés, sans en détenir la preuve absolue, que Falciani a déniché une faille dans le système informatique, entre 2006 et 2008, lors de la mise en place du CRM, à un moment où, suite sans doute à un incident technique, les listings HSBC n’auraient plus été cryptés.

Jean-Claude Brodard, directeur de la logistique de la banque, l’a assuré, devant les enquêteurs français de l’affaire HSBC, instruite par deux juges du pôle financier parisien : « Toutes les migrations se passent le week-end. La première partie de migration s’est faite en 2006 ». Florent Donini, autre membre de l’équipe informatique, a les mêmes souvenirs : Falciani « était en charge, seul, de la construction de la base de données CRM (…) Hervé a vu des données de production non cryptées, le déploiement dur(ait) 4 à 5 heures, nous voy(i)ons défiler des données, nous pouv(i)ons faire des copies d’écran ». Est-ce là, dans ces instants privilégiés, que Falciani a eu accès aux données confidentielles ? C’est probable. Jérôme Charlot, chef de projet chez HSBC PB, rappelle, à propos des données consultées par Falciani : « Il devait les supprimer, une fois l’intégration terminée ». Pas sûr que l’informaticien ait obéi aux consignes… Roland Vezza, cadre d’HSBC PB, explique : « Falciani était techniquement relativement brillant mais humainement, il était manipulateur ». Voire « mythomane », confie-t-il lui aussi. Le parfait profil pour enclencher un mécanisme destructeur. D’autant que Falciani n’est pas satisfait de l’évolution de sa carrière : la banque a choisi un autre modèle de CRM que celui prôné par l’informaticien. En outre, on lui refuse un poste vacant à la sécurité.

C’est donc cet homme-là, frustré sur le plan professionnel, aventurier sentimental, instable, qui va donc finir par obtenir, puis stocker, en toute illégalité, les données secrètes des clients d’HSBC PB.

Hervé Falciani, longuement questionné par Le Monde le 15 décembre 2014, a donné une tout autre version de l’affaire. « De fait, j’ai volé des données », a-t-il dit. Mais il a assuré avoir bénéficié de complicités internes, sur fond de motivations éthiques : « Je n’avais pas autorité pour accéder à des données opérationnelles, mais je travaillais sur tous les projets sensibles, en contact avec les gens de la banque, ils me disaient : “Tu sais, il y a ça qui se passe”. C’est comme ça que j’ai pu avoir accès à ces données, par ces intermédiaires. La plupart des intermédiaires qui m’ont aidé sont passés entre les gouttes. Chacun va mettre à disposition ses données sur un cloud, je vais m’assurer qu’il y a une cohérence ».

Une version des faits qui ne convainc pas les enquêteurs suisses, lesquels veulent traduire aujourd’hui Falciani devant un tribunal fédéral. La justice helvétique dispose d’éléments solides. Notamment les revirements de l’informaticien. Entendu par les gendarmes français en janvier 2009, Falciani va ainsi assurer que ses données ont été obtenues par « data web mining et par l’intermédiaire de back up », des sauvegardes qu’il aurait faites « dans le cadre de (son) activité naturelle professionnelle ». Aucune mention à d’éventuels comparses ni à de possibles mobiles déontologiques.

Quoi qu’il en soit, il dispose dès le début de l’année 2008 de milliers de données sensibles, exceptionnelles. Très exactement, prétend-il, les comptes de 107.181 personnes, potentiellement fraudeuses. Ces listings valent de l’or. Qu’en faire ? Lui jure aujourd’hui n’avoir jamais envisagé de rentabiliser son trésor. Il aurait toujours agi par idéalisme, pour dénoncer des pratiques illégales, en bon lanceur d’alerte, ce costume qui le protège désormais très commodément. Mais l’examen des faits laisse apparaître une vérité moins glorieuse, au début de l’aventure tout du moins.

C’est Georgina Mikhael qui se chargera de dénoncer son amant, près d’un an plus tard, le 22 décembre 2008 précisément, auprès des autorités suisses : « Peu de temps après le début de notre relation, Hervé Falciani m’a dit qu’il possédait une base de données qu’il voulait monnayer, afin de disposer d’argent à donner à son épouse dans le cadre du divorce qu’il envisageait ». Et d’ajouter : « Il m’a menacé de faire du mal à moi et à ma famille si je parlais à quelqu’un de l’histoire des données ».

Les deux amants ont fini par se déchirer. Mais leurs projets semblaient réellement concorder, un temps. Leurs échanges sur Skype, saisies dans le cadre de l’enquête, confortent cette vision des événements : « T’as pêché ? », demande en mars 2007 la jeune femme, qui se fait appeler Palomino, une couleur de robe chez le cheval, cet animal qu’elle affectionne tant. Elle demande en fait à son comparse s’il a fait de nouvelles découvertes informatiques. « Trois mois d’update pour address, person », répond Falciani. « Et tu ne t’es pas (fait) choper ? », interroge Mikhael.« Manque pour l’instant accounts (?) (montants) », écrit l’informaticien, sibyllin. « Il faut faire attention baby », conclut la Franco-Libanaise. Faire attention à quoi ?

C’est que le couple caresse l’idée, si l’on en croit donc les aveux de la jeune femme, de mettre de côté un joli pactole, grâce au travail souterrain de Falciani. Ils mettent le cap sur le Liban, où ils séjournent du 2 au 9 février 2008. Pour vendre les listings aux banques locales, assure Georgina Mikhael. « Aller au Liban va me permettre de solliciter un système d’alerte », affirme aujourd’hui Falciani. En clair, il aurait voulu tirer le signal d’alarme. Révéler le système opaque mis au jour par ses soins. Mais n’aurait-il pas été beaucoup plus simple, dans ce cas, de dénoncer les pratiques de HSBC PB aux autorités helvétiques ? « Est-ce que la Suisse enquête sur les banques ? Non. Il ne faut pas être dupe, le pouvoir de l’argent s’exprime ainsi », tranche-t-il, sans convaincre. Rien ne l’empêchait, s’il n’avait pas confiance en la Suisse, de dénoncer les faits à la France, par exemple.

Voilà donc le couple en goguette au Liban. C’est là que le nom d’emprunt Ruben Al-Chidiak fait son apparition. Fausses identités, faux papiers, et pour bien faire, une société bidon (Palorva), créée à Hong-Kong pour l’occasion… Cartes de visite à l’appui, il se présente en qualité de responsable commercial de cette entreprise auprès des quatre banques contactées à Beyrouth. Il a également mis dans la confidence son frère Philippe, à qui il a vendu l’idée d’un fumeux « projet data ». Philippe Falciani confessera plus tard aux enquêteurs à propos de son frère : « Il voulait gagner de l’argent avec son projet ». Avec des données provenant de recherches dans le « web invisible », lui aurait assuré à l’époque Hervé Falciani. « La banque intéressée devait payer un montant que j’ignore pour l’achat de la banque de données », confirme Mme  Mikhael en décembre 2008. Il est question, selon elle, d’une somme de 1.000 dollars par nom révélé. « Hervé parlait d’interceptions de fax », affirme la jeune femme, pour expliquer aux enquêteurs la façon dont il avait pu obtenir les listings. Interrogée une deuxième fois en 2010, Mme Mikhael assume ses premières déclarations : « Hervé Falciani montrait aux banques une liste énorme de profils clients avec des noms cryptés ». Le tout dans un seul but : « Vendre ce produit et faire du business ».

Ces déclarations sont confortées par les banquiers libanais retrouvés à Beyrouth. Jacques Aouad, de BNP Paribas Beyrouth, se souvient ainsi de « deux personnes qui avaient pris rendez-vous », afin de savoir si son « établissement était intéressé d’acquérir des renseignements ». Le 4 février 2008, c’est Samira Harb, de la banque Audi, qui reçoit la visite du couple. Elle se rappelle d’Al-Chidiack : « Il m’avait dit qu’il avait des listes à me vendre (…) Elles contenaient des noms et adresses (.) des numéros de compte et des positions. Il m’avait expliqué qu’il détenait ces données en interceptant des fax ». Lors de ses rendez-vous avec les banquiers libanais, le logo HSBC est visible sur les documents montrés par Falciani. Georges Tabet, pour la banque Blominvest, a droit lui aussi à la visite du duo. On lui sert la même histoire. Tous ces banquiers ont témoigné devant la justice suisse, raconté les pérégrinations du tandem Falciani-Mikhael, et juré que, méfiants, ils n’ont pas donné suite à ses sollicitations.

Difficile, au vu de ces déclarations convergentes, d’accréditer la version présentée par Falciani. D’autant que celui-ci a choisi plusieurs explications différentes, au fil des interrogatoires. Souvent, Falciani varie. Passe d’une argumentation à une autre, au gré de ses intérêts du moment.

Le 20 janvier 2009, il indique ainsi aux gendarmes français qu’il avait « pour projet de faire réaliser un logiciel de data mining (…) Pour créer ce programme, il me fallait un financement ». D’où ce voyage au Liban. Changement complet de discours devant le juge Renaud Van Ruymbeke, en juillet 2013 : « Mon seul objectif était de déclencher une alerte dans une banque libanaise, filiale d’une banque suisse, afin que celle-ci répercute cette alerte au parquet fédéral suisse (…) pour mettre fin à l’opacité organisée chez HSBC ».

Après l’échec de son escapade libanaise, Falciani change de stratégie. Comme si l’informaticien à la recherche d’argent facile avait décidé d’endosser le costume de Zorro de la finance en mission commandée. Car, et c’est une constante, depuis ce voyage au Liban, Falciani n’a plus cherché à vendre ses données. Il se tourne alors vers les services spéciaux : il envoie ainsi des messages aux services secrets britanniques et allemands, leur promettant monts et merveilles. Ainsi, ce mail adressé le 18 mars 2008 à « sosfa-action@fco.gov.uk », une agence d’Etat anglaise : « J’ai la liste complète des clients de l’une des cinq plus grandes banques privées (…) Cette banque est basée en Suisse (…) Je garantis aussi l’accès au système informatique ». Il faut se souvenir qu’en ce début de printemps 2008, un employé de la banque LGT au Lichtenstein a revendu au fisc allemand un listing infiniment moins complet que celui de Falciani, pour la somme de 5 millions d’euros… Le couple Falciani-Mikhael lorgne-t-il sur un nouveau moyen de financement ? Il semble que non. Falciani entre d’ailleurs en contact avec les enquêteurs du fisc français dès avril 2008, et les rencontre même dès le 28 juin, sans leur demander d’argent, mais en leur promettant un cataclysme financier, s’ils le soutiennent.

En tout cas, l’un de ses buts initiaux – à l’en croire –, à savoir déclencher un signal d’alarme, est très vite atteint : le 20 mars 2008, l’association suisse des banquiers est prévenue du périple libanais, une enquête judiciaire est ouverte le 29 mai. Discrète, dans un premier temps. Et comme en Suisse on ne plaisante pas avec le vol de secrets bancaires, les téléphones de Georgina Mikhael sont placés sur écoute. Les policiers découvrent l’étroitesse de ses liens avec Falciani. L’affaire s’emballe lorsque la justice suisse apprend, le 17 décembre 2008, que Georgina Mikhael s’apprête à quitter le territoire. Elle est arrêtée le 22 décembre et dénonce immédiatement son complice. Leurs bureaux sont perquisitionnés. L’informaticien n’est pas interpellé mais convoqué pour le lendemain, 23 décembre, 9 h 30. Lourde erreur. La justice suisse ne reverra plus jamais Hervé Falciani…

Car celui-ci, persuadé que les autorités françaises vont l’aider, décide de s’enfuir et de gagner le sud de la France. Il loue une voiture à Genève et la dépose à l’aéroport de Nice. De là, il part à Castellar, dans sa maison de campagne. Le 24 décembre, dans l’après-midi, il contacte ses officiers traitants du fisc français et leur donne rendez-vous pour le surlendemain. Sacré cadeau de Noël en vue pour les limiers de Bercy. Le 26 décembre, à l’aéroport de Nice, assis à une table, filmé par les caméras de l’aérogare, il leur remet cinq DVD, contenant ses fameuses données. Il a ainsi la garantie qu’elles seront exploitées.

Les Suisses, de leur côté, conscients d’avoir commis une bévue, lancent en urgence une demande d’entraide judiciaire. Les autorités françaises n’ont d’autre choix que de coopérer. Le 20 janvier 2009, Hervé Falciani voit débouler une escouade de gendarmes français, accompagnés par un magistrat suisse. Il parle, sur procès-verbal. Mais accepte de collaborer avec la justice française uniquement. La Confédération helvétique, qui souhaite récupérer les données originales dérobées par l’informaticien, en est pour ses frais. Car le procureur de Nice, Eric de Montgolfier, n’entend pas se dessaisir d’une telle manne, d’autant que le fisc a l’habileté de jouer franc jeu avec ce magistrat intrépide. L’affaire Falciani devient l’affaire HSBC PB.

La mécanique infernale est lancée. Falciani joue le jeu, collabore vraiment. Les données, qu’il faut décrypter, produisent des noms, par milliers. Le fisc et la justice enquêtent de manière parallèle, mais établissent des listings quasi-similaires. « Ils disposent des mêmes données, mais pas des mêmes outils de lecture, ce qui peut expliquer certaines différences », expliquera Falciani au juge Van Ruymbeke, en juin 2013. L’informaticien évite la case suisse, la prison, et parvient même, grâce à Bercy, à se faire salarier par un organisme parapublic, l’Institut national de recherches en informatique et automatismes (INRIA). Fin mars 2009, il termine sa collaboration avec le fisc, et fin décembre 2009, il cesse d’aider les gendarmes, car l’extraction des données est quasiment terminée. Très vite, l’affaire attise les convoitises de l’étranger.

Le parquet de Turin se rapproche de la France, puis la justice américaine fait connaître son intérêt… En juillet 2012, Falciani se déplace en Espagne, où il est arrêté, puis placé en détention. Il en ressort cinq mois et demi plus tard, contre la promesse de prêter main forte à la justice espagnole. Enfin, en septembre 2012, les autorités britanniques récupèrent elles aussi les listings, et s’intéressent plus particulièrement aux îles anglo-normandes.

Ces temps-ci, Hervé Falciani tente d’apporter son écot aux efforts de l’Argentine et de l’Inde pour traquer la fraude. Il se déplace sans faire trop de bruit, il se sait surveillé, menacé peut-être. Sa vie a basculé. Il est protégé. Trop d’intérêts en jeu. La carrière de lanceur d’alerte de l’informaticien est sur les bons rails. Mais a-t-il encore une existence propre ? Il vit de CDD, assure être actuellement au chômage. « Je pouvais travailler pour un laboratoire, la directrice a refusé en voyant mon nom. C’est mon quotidien, je survis en étant utile », dit-il. « La seule fois que j’aurai une reconnaissance officielle, cela viendra de la Suisse, en étant condamné, ironise-t-il, avant de confier : J’aurais aimé avoir un statut d’aviseur, cela aurait été ma vraie médaille, le vrai respect des risques encourus ».

L’avenir ? Déjà, Falciani ne mettra plus les pieds en Suisse. « Qu’est-ce que j’en ai à faire, du procès suisse ? Je n’ai rien à faire là-bas. Je vais tourner la page, demander à changer de nom, disparaître, pour avoir une vie normale ». Il lui restera le souvenir d’une aventure hors norme, et quelques lourds secrets, qu’il gardera pour lui. Terriblement humain, finalement. Parfois, la carapace se fissure : « Il devrait exister une loi pour aider les lanceurs d’alerte. Je ne suis pas un chevalier blanc, mais il y a quelque chose d’assez beau et de grisant à établir la vérité. Ça vous remplit quand ça va mal, ça laissera sa trace ». Il aurait pu gagner beaucoup d’argent, probablement a-t-il essayé, en bricoleur madré, mais il lui reste, au final, le sentiment d’avoir été utile.

Pas si mal pour un ex-croupier, play-boy à temps complet, auteur, selon les banques suisses, du casse informatique du siècle… Et donc, in fine, lanceur d’alerte.

 

Le fil info

La Une Tous

Voir tout le Fil info
La UneLe fil info

Allez au-delà de l'actualité

Découvrez tous les changements

Découvrir

À la Une