C’est une histoire tirée d’un roman d’espionnage, plutôt à la mode OSS 117. Un État fabrique un logiciel espion, le lance sur sa cible, un autre État. Celui-ci s’en rend compte, dissèque ledit logiciel dans le plus grand secret. Il décide ensuite de piéger l’attaquant, y parvient. À la fin, il publie un rapport avec les photos du pirate ennemi, obtenues en entrant dans son ordinateur.

Fin de la fiction. L’histoire est réelle. Le rapport a été publié en anglais la semaine dernière par l’agence d’échange de données géorgienne. Il pointe la main de la Russie dans une cyberattaque importante contre la Géorgie découverte en mars 2011. “Un acte de cyberespionnage” écrit l’agence dans son rapport qui détaille le modus operandi sophistiqué de l’attaque.

Informations confidentielles

Première étape : des sites d’informations géorgiens sont piratés. Le script malveillant placé sur ces pages infecte les ordinateurs des visiteurs. La pêche aux “informations confidentielles et sensibles” peut commencer. Étape deux : les ordinateurs piratés sont criblés pour dénicher les précieuses informations qui sont renvoyées (c’est l’étape trois) vers un serveur distant. Malins, les artisans de l’attaque changent régulièrement l’adresse du serveur.

Un jour sous surveillance

Les documents révélés par WikiLeaks laissent entrevoir le paysage de la surveillance. Un téléphone portable devient un ...

Non content d’obtenir ces documents – principalement word, powerpoint et pdf à propos des questions des relations avec les États-Unis ou l’Otan – les pirates peuvent avoir accès aux micros et caméra de l’ordinateur infecté. Des fonctionnalités sophistiquées, mais pas hors du commun à en croire le catalogue de certains marchands d’armes de surveillance…

390 ordinateurs ont été infectés détaille le rapport de l’agence géorgienne. Une immense majorité en Géorgie, et quelques 5% en Europe et en Amérique du Nord. Les autorités géorgiennes affirment avoir reçu l’aide de services étrangers (américains et allemands) ainsi que l’assistance de grandes entreprises comme la division cybersécurité de Microsoft. Une fois disséqué, le logiciel malveillant a permis de remonter à la source. Les autorités géorgiennes sont parvenues à identifier le pirate, et le prendre en photo avec sa webcam.

La moustache de Moscou

Pas peu fière, l’organisation chargée de la cybersécurité géorgienne raconte :

Nous avons trouvé un PC infecté dans notre lab, avons envoyé une fausse archive ZIP, intitulée “Georgian-Nato agreement’, qui contenait le virus. L’attaquant a dérobé cette archive et a exécuté le fichier malveillant. Nous avons maintenu le contrôle sur son PC, puis capturé une vidéo de lui, personnellement.

La prise est évidemment jointe au dossier : deux photos d’un homme moustachu, sans uniforme, dans ce qui ressemble à un appartement.

Pour la Géorgie, l’origine de l’attaque ne fait aucun doute : Moscou est derrière. Ce ne serait pas une première. Lors de la guerre entre les deux pays à l’été 2008, le Russie avait mené des cyberattaques concomitamment aux attaques sur le terrain. Le rapport ne manque pas de le rappeler, citant “deux organisations indépendantes américaines”. Les cyberattaquants avaient alors pu compter sur “certaines ressources” appartenant à l’Institut de recherche du ministère de la défense russe.

Festival of lights, Photo CC by Rene Mensen

En début de semaine, le Congrès américain frappait d’ostracisme les filiales américaines des groupes chinois Huawei et ZTE, en convoquant une conférence de presse pour inviter l’industrie américaine à ne plus travailler avec ces entreprises spécialisées dans les infrastructures de télécommunications. Huawei et ZTE équipent des data centers, des fournisseurs d’accès à Internet (FAI) ou vendent des composants de la téléphonie mobile. Des technologies considérées comme autant de menaces potentielles par le Congrès.

À l’appui de cette attaque en règle, un rapport émanant de la Commission du renseignement de la Chambre des représentants. Dont les membres, depuis plusieurs mois, ne cachent pas tout le mal qu’ils pensent de la présence – encore modeste – de Huawei et ZTE sur le marché américain.

La version finale de leur document de 60 pages – que nous avons lu, ici en PDF – multiplie les affirmations quant à l’opacité de ces deux géants chinois des télécoms et du numérique, à la fois fabricants et prestataires de service. Sans toutefois apporter de preuves matérielles convaincantes.

Une absence regrettable dans la mesure où ces attaques contre Huawei et ZTE interviennent sur fonds de tensions économiques sur le marché des télécoms américains, en raison de la concurrence que ces groupes représentent. Peu après la conférence de presse du Congrès, la direction de Huawei a d’ailleurs répondu en laissant entendre qu’il s’agirait d’un mauvais procès motivé par la course vers de juteuses parts de marché.

Opérations militaires

Sur un plan matériel, le document s’appuie le plus souvent sur des informations déjà publiées dans la presse, même si une note de bas de page mentionne l’existence d’annexes classifiées, portant sur le travail des services américains de renseignement quant à la réalité de ce risque.

[Carte Interactive] La Chine investit l’Europe

En pleine crise financière, les liquidités chinoises font craindre des vagues d'acquisitions en Europe. OWNI a recueilli et ...

Le rapport a été rédigé par deux élus suivant régulièrement “la communauté du renseignement” et ses enjeux, Dutch Ruppersberger et Mike Rogers.

Alors que ce dernier a fait une partie de sa carrière au FBI, Ruppersberger, pour sa part, passe pour un parlementaire très attentif aux questions de souveraineté nationale. Au Congrès, depuis plusieurs législatures, il représente le second district du Maryland, la circonscription où campe la National Security Agency (NSA), à Fort Meade, ainsi que la plupart des commandements américains impliqués dans les opérations militaires sur les réseaux numériques. En particulier le US Cyber Command. Dans ce second district du Maryland on compte ainsi près de 38 000 personnes travaillant pour l’appareil sécuritaire du gouvernement.

Et plusieurs dizaines de milliers d’autres employées dans des sociétés privées sous-traitantes. Tout un monde qui vit – à tort ou à raison – sur la base d’une économie du soupçon ciblant les acteurs chinois dans des technologies de l’information.

365 Day 256, Photo CC by Collin Harvey

À défaut de preuves irréfutables à l’encontre de ces entreprises chinoises, la démarche des parlementaires américains peut paraître un rien étonnante. En effet, le géant américain Cisco semble entretenir les mêmes ambiguïtés que celles reprochées à Huawei et ZTE – contrats avec les militaires de leur pays d’origine et partenariats avec des agences de renseignement.

Espionnage

Avec des conséquences tout aussi préoccupantes pour le citoyen. Depuis le début des années 2000, à travers le monde, Internet se développe grâce à des routeurs fournis par Cisco ou par les cinq autres sociétés américaines ou franco-américaine (Alcatel-Lucent) qui maîtrisent ces technologies et travaillent parallèlement avec le complexe militaire de leur pays – jusqu’à l’arrivée d’Huawei qui les concurrence.

À ce titre, pour les observateurs américains, les accointances entre Cisco et la NSA sont légions. Selon l’enquêteur James Bamford, auteur de plusieurs livres qui font autorité sur la NSA et les technologies d’espionnage, cette proximité relève de l’essence même de la NSA, au regard de ses missions de surveillance globale des réseaux. Lors d’un entretien avec des journalistes de la chaîne PBS Bamford affirmait :

L’une des choses que la NSA fait c’est de recruter beaucoup de gens venant de l’industrie des télécoms, donc de gens qui connaissent comment Internet fonctionne, qui savent comment certains systèmes à l’intérieur d’Internet sont construits. Par exemple, ils pourraient recruter des gens de Cisco qui construisent divers routeurs, et les intégrer dans la NSA pour ensuite déconstruire le fonctionnement des routeurs.

Les routeurs de la discorde

Européens et Américains sont d'accord : les équipements chinois sont materia non grata, en particulier les routeurs - ...

Les enjeux financiers provoqués par le gonflement des budgets militaires après le 2001 ont accentué cette dynamique. De nos jours, le groupe Cisco, via un département spécialisé – dénommé Federal Intel Area -, propose des services de surveillance et de traitement du renseignement sur-mesure à l’ensemble des services secrets américains ; comme le montre cette brochure commerciale [pdf]. Une relation qui semble parfaitement assumée ; nous avons retrouvé sur LinkedIn le CV détaillé de l’un des responsables de ce programme actuellement en poste chez Cisco.

Finalement, ces relations entre entrepreneurs du numérique et appareil sécuritaire s’inscrivent dans la tendance naturelle de tous les États à contrôler et surveiller tous les réseaux de communication – depuis le télégraphe jusqu’à Internet. Le 14 août dernier près de Baltimore, lors d’une conférence réunissant des agences du département américain de la Défense impliquées dans le renseignement électronique, Keith Alexander, patron de la NSA, a rappelé cette évidence lors d’une intervention de près de 40 minutes consacrée aux opérations de la NSA dans le cyberespace.

S’exprimant sur quelques détails des missions de son agence sur le numérique, il a évoqué les 18 câbles sous-marins reliant les États-Unis au continent européen et permettant aux connexions Internet de traverser l’Atlantique grâce à de multiples relais technologiques… Et les partenariats avec des pays comme la Grande-Bretagne ou la France permettant de surveiller l’ensemble.

Ces acteurs technologiques étant les clients des appareils sécuritaires de leur pays d’origine, il est difficile des les imaginer ne bâtissant pas ces ponts qui facilitent leur tâche – au nom de l’idée qu’ils se font de leur propre sécurité nationale, et des intérêts qu’ils partagent.

Trojan Horse 2011 cc quantumlars

Colères d’Arabie : le logiciel espion

Cruel paradoxe de ce printemps arabe : les défenseurs des droits de l'homme bahreïnis utilisent les réseaux sociaux ...

Fin juillet, on découvrait que le logiciel espion du marchand d’armes de surveillance numérique britannique FinFisher avait été utilisé à l’encontre de défenseurs des droits humains bahreïnis. En août, on découvre que des journalistes marocains ont, eux, été ciblés par Hacking Team, un concurrent italien de FinFisher.

Mamfakinch (“nous n’abandonnerons pas“, en arabe marocain), est un site d’informations créé par un collectif de blogueurs et militants marocains dans la foulée du printemps arabe, et plus particulièrement du mouvement dit du 20 Février, qui appelait notamment à l’ouverture d’une enquête sur “les arrestations arbitraires et les procès expéditifs », et à la « rupture avec la logique de répression face au droit des manifestations pacifiques“. Devenu, en moins d’un an, l’un des médias citoyens les plus populaires au Maroc, il a plusieurs fois fait l’objet d’attaques ou de tentatives de déstabilisation visant à le faire taire.

Ce 2 juillet 2012, Google et GlobalVoices remettait à Mamfakinch un Breaking Border Awards, prix créé pour honorer les sites qui s’illustrent par leur défense de la liberté d’expression sur Internet. Le 20 juillet, la rédaction de Mamfakinch recevait un email intitulé Dénonciation, accompagné d’une pièce jointe, scandale (2).doc, et d’une phrase sibylline en français :

Svp ne mentionnez pas mon nom ni rien du tout je ne veux pas dembrouilles…

Appâtés, les journalistes tentent d’ouvrir le fichier joint… sans succès. Intrigués, et doutant de la véracité du mail, ils le font suivre à Abderahman Zohry, co-fondateur de Mamfakinch et du Parti pirate marocain, mais également directeur technique de DefensiveLab, une société de sécurité informatique marocaine. Anas El Filali, blogueur et principal actionnaire de Defensive Lab, a raconté à Yabiladi, un site d’information marocain, qu’en analysant le document, les hackers de son entreprise ont découvert un virus qui n’avait encore jamais été identifié :

Ce dernier prend pour cible les machines qui tournent sous MAC OS et Windows, et il était encore indétectable par les antivirus. Un document Word contenait un code exploitant une faille existante dans le composant Flash afin d’installer le cheval de Troie.

Techniquement, une attaque de ce genre peut donner à l’attaquant un accès à toutes les données de l’ordinateur infecté, ainsi que d’enregistrer tout le trafic entrant et sortant (discussions et contacts MSN, Skype, mots de passe, touches tapées et URLs visitées sur le navigateur…).

Des chevaux de Troie dans nos démocraties

OWNI lève le voile sur les chevaux de Troie. Ces logiciels d'intrusion vendus aux États, en particulier en France et en ...

Le 24, Lysa Meyers, une des chercheuses d’Intego, une société de sécurité informatique spécialisée dans l’univers Mac, découvre le cheval de Troie, que DefensiveLab a envoyé à Virus Total, un site qui permet à tout internaute de passer n’importe quel fichier au travers des scanners de 41 éditeurs d’anti-virus, et que Google vient de racheter.

Le 25, Lysa Myers publie un nouveau billet expliquant comment le logiciel malveilant fonctionne, révélant qu’on y trouve des bouts de code évoquant le nom d’un concurrent italien de FinFisher, Hacking Team. Son cheval de Troie, Remote Control System Da Vinci (RCS, pour “système de contrôle à distance“), présenté comme une “suite de hacking pour l’interception gouvernementale“, se targue de pouvoir pirater n’importe quel système informatique, afin de pouvoir surveiller, espionner et récupérer tout type de données sur les ordinateurs infectés.

Des dizaines d’articles ont relayé cet été, dans la foulée, la découverte de ce nouveau cheval de Troie, surnommé Crisis par Intego, Morcut par Sophos, ou encore BackDoor.DaVinci.1 par Dr.Web -qui qualifie Hacking Team de “criminels“. Depuis, les éditeurs d’anti-virus rivalisent de communiqués pour annoncer qu’ils avaient rajouté le cheval de Troie dans la liste des logiciels malveillants, de sorte qu’ils ne puissent plus contaminer les ordinateurs de leurs clients.

Un gros requin de l’intrusion

En partenariat avec WikiLeaks, OWNI révèle le fonctionnement de FinFisher, l'une de ces redoutables armes d'espionnage ...

A ce jour, 26 éditeurs d’antivirus détecteraient le cheval de Troie de Hacking Team, et 36 celui de FinFisher, ce qui n’est pas sans poser quelques problèmes à ces marchands d’armes de surveillance numérique. D’une part parce que l’on en sait un peu plus sur leurs technologies, et donc comment s’en protéger, d’autre part parce qu’ils se targuaient, auprès de leurs clients, d’avoir créé des chevaux de Troie que les antivirus ne détectaient pas.

FinFisher, Hacking Team et leurs quelques concurrents défendent leurs logiciels espions en expliquant qu’ils ne le vendent qu’à des services de renseignement, forces de police et gouvernements, et qu’ils ne seraient donc utilisés que dans le cadre de la lutte contre le terrorisme ou la criminalité. On a désormais la preuve qu’ils servent aussi à espionner des défenseurs des droits humains et journalistes.

Les autorités britanniques, de leur côté, viennent d’annoncer que FinSpy avait été placé dans la liste des “technologies duales” dont l’exportation, hors union européenne, doit être dûment autorisée.

Le blocage des chevaux de Troie par les antivirus, ainsi que la décision britannique de contrôler leur prolifération, constitue un tournant. Et la facture pourrait s’avérer salée : David Vincenzetti, le fondateur de Hacking Team, avait expliqué en novembre 2011 qu’il commercialisait la licence de RCS Da Vinci pour 200 000 euros, par an. D’après Ryan Gallagher, un journaliste de Slate qui l’avait rencontré en octobre 2011, RCS a été vendu depuis 2004 “à approximativement 50 clients dans 30 pays sur les cinq continents“. FinSpy, à en croire cette proposition de contrat trouvée en mars 2011 dans l’un des bâtiments de la sécurité égyptienne après la chute du régime Moubharak, serait vendu, de son côté, près de 300 000 euros.

Charles Sobhraj, alias “Le Serpent” : vedette des séries estivales consacrées aux grands criminels. Officiellement, c’est un tueur en série de nationalité française et d’origine vietnamienne ayant sévi en Inde dans les années 80.

Et enfermé depuis 2003 dans une prison du Népal, pays où de fins limiers l’ont interpellé pour un énième assassinat dont les détails nous échappent à la lecture de son parcours, tel que le décrit L’Express, au mois d’août, ou comme le raconte France Info dans son feuilleton Histoires criminelles. Les jugements et les preuves en relation avec son incarcération à Katmandou manquent dans les différentes sagas. Mais qu’importe sa culpabilité véritable.

Bollywood

L’homme est déjà entré dans cet étrange Panthéon réservé aux pires salopards qui incarnent le mieux les côtés sombres de notre petit monde. Au printemps dernier, des producteurs de Bollywood en Inde ont annoncé le lancement d’une superproduction retraçant les méfaits et surtout les évasions de Charles Sobhraj à travers le sous-continent, en particulier celle de la prison de Tihar, en 1986 – demeurée célèbre dans les annales de la police locale. La vedette du cinéma indien Saif Ali Khan tiendra le rôle du criminel présumé.

La trajectoire de Charles Gurmurkh Sobhraj, né le 6 avril 1944 à Saigon – alors colonie française – emprunte des chemins pourtant bien plus étranges, plus complexes aussi, que ceux montrés par ces scénaristes ou dans les multiples récits livrés par la chronique criminelle. Ainsi, comme nous pouvons le détailler, divers documents des services secrets français, méconnus jusqu’à présent, lui sont consacrés. Non pas en raison de ses escroqueries ou de ses meurtres présumés.

L’intérêt qu’il suscite se situe à un niveau plus stratégique. Il s’explique par le rôle que lui prêtent les agents de la DGSE dans des transactions illicites de matériels d’armement financées au début des années 2000 par deux importants narcotrafiquants afghans. Là, dans ces pages couvertes par le secret défense, le portrait du tueur en série un peu maniaque disparaît au profit de celui d’intermédiaire en relation avec des personnalités des services secrets pakistanais de l’Inter Services Intelligence (ISI).

Un homme qui se balade à travers l’Asie centrale en se prévalant lors de certaines rencontres, semble-t-il, d’une relation de confiance avec des dignitaires Talibans. Et qui fréquente quelques professionnels du cinéma français lui permettant d’utiliser des cartes de visites et des noms de société inspirant confiance. Une toute autre histoire. Une note de la DGSE que nous publions plus bas affirme ainsi :

Au cours du printemps 2001, Charles Sobhraj a repris contact avec le courtier non autorisé en armement Philippe Seghetti afin de se procurer des mini-réacteurs de type R-36 TRDD-50 de conception russe. Cette demande lui aurait été adressée par deux intermédiaires pakistanais de l’Inter Service Intelligence (ISI). Par ailleurs, Charles Sobhraj, souhaitant se procurer de la drogue en paiement des équipements livrés, le financement de cette transaction pourrait être assuré par des ressortissants afghans agissant dans le domaine des narcotiques, MM. Hâdji Abdul Bari et Hâdji Bachar.
Charles Sobhraj, qui a probablement été évincé de cette transaction, continue de soutenir les Talibans. En effet, ces derniers l’ont invité à se rendre dans la région de Peshawar (Pakistan) pour effectuer des transactions. Le laissez-passer devra être rédigé au nom de la société française Victor Productions, derrière laquelle M. Sobhraj abrite ses intérêts commerciaux.

Sobhraj DGSE

Nous avons retrouvé la trace de Victor Productions, à Londres, au 18 Wigmore Street. La société ne paraît plus active mais elle a été enregistrée par un producteur français, François Enginger. Celui-ci apparaît notamment au générique de la saison 2 d’Engrenages, la série vedette de Canal Plus, cuvée 2008. Nous avons contacté la société Son & Lumière, une quasi institution dans les milieux du cinéma français, qui a produit les différentes saisons d’Engrenages. Nos interlocuteurs nous ont répondu qu’ils ne connaissaient pas François Enginger et qu’ils ne voulaient pas nous parler.

Pas plus de chance avec Philippe Seghetti, nous n’avons obtenu aucune réponse aux sollicitations envoyées pour entrer en contact avec lui. Et aucun élément matériel ne nous permet de corroborer les soupçons que nourrissent les services secrets à son encontre. Selon nos informations, cet homme d’affaires est intervenu à plusieurs reprises sur les marchés de la sécurité en Afrique, notamment en République démocratique du Congo.

Armement

La Lettre du Continent, spécialisée sur les réseaux de la Françafrique, mentionne l’existence d’un partenariat entre Philippe Seghetti et une structure appartenant aujourd’hui à la Sofema, une entreprise spécialisée dans l’accompagnement des contrats d’armement pour le compte des industriels français de la défense.

Les mini-réacteurs de type TRDD-50 qui intéressent la DGSE dans sa note sont produits à une échelle importante en Russie, en particulier dans les ateliers de la société OJSC, basée à Omsk et spécialisée dans la fabrication de moteurs et de systèmes de propulsion pour l’aéronautique. Entre les mains de professionnels de l’armement, ces minis-réacteurs peuvent servir au développement de missiles de croisière – à l’image du missile chinois HN-2 – ou servir à construire des drones artisanaux.

La note de la DGSE, rédigée début 2002, quelques mois avant l’arrestation de Charles Sobhraj au Népal, précise que ses commanditaires pakistanais ont pris contact avec la société géorgienne Indo-Georgia International, également en mesure de produire les fameux mini-réacteurs TRDD-50.

À la même époque, cette entreprise apparaît impliquée dans d’importantes livraisons d’armes de guerre aux indépendantistes en Tchéchénie ; que soutenaient l’Arabie Saoudite, le Pakistan et les réseaux Talibans. Une constante, de nos jours encore, les séparatistes ouzbeks et tchétchènes s’entraînent et combattent en Afghanistan.

Dans ce contexte, le 13 septembre 2003, tandis qu’il était domicilié en France en toute légalité (malgré un passé judiciaire chargé), Charles Sobhraj effectue un voyage au Népal pour affaires. Avec un visa en bonne et due forme délivré par le consulat du Népal à Paris. Il n’en repartira jamais. Ce jour-là, il est interpellé par la police de Katmandou dans le cadre d’un contrôle d’identité. Et après une vingtaine de jours de détention, de manière plutôt surprenante, il est inculpé pour un assassinat crapuleux commis au mois de décembre 1975.

L’accusation repose principalement sur les photocopies de deux cartes d’enregistrement dans un hôtel réservé aux étrangers, remontant à décembre 1975 et qui désigneraient Sobhraj. Près d’un an après cette inculpation, et malgré des expertises mettant en cause la fiabilité de ces photocopies, et sans aucune autre preuve matérielle, la Court de Katmandou condamne Charles Sobhraj à la prison à vie, le 12 août 2004.

Preuves originales

À Paris, Maître Isabelle Coutant-Peyre, avocate hors normes, familière des dossiers difficiles, assurant la défense du terroriste Carlos, prend en charge l’affaire Charles Sobhraj, en relation avec les avocats népalais. À titre bénévole, pour des questions de principe, nous explique t-elle. Après avoir consulté le dossier de l’accusation, elle introduit un recours devant la Commission des Droits de l’Homme des Nations unies. Qui se transforme en plainte contre l’État du Népal.

Et elle gagne. Dans un avis du 27 juillet 2010, que nous reproduisons ci-dessous, la Commission des Droits de l’Homme des Nations unies condamne sans réserve l’État du Népal pour avoir violé des dispositions du droit interne népalais, et surtout pour avoir mené une procédure sans respecter les principes judiciaires les plus élémentaires, en particulier la nécessité de mener une instruction contradictoire, à charge et à décharge, d’accorder la possibilité à l’accusé d’écouter les griefs qui lui sont adressés dans une langue qu’il comprend, et de fonder les actes d’accusations sur des preuves originales et non sur quelques copies dont l’authenticité est sérieusement contestée.

Charles Sobhraj United Nations

Onze ans après son arrestation, Charles Sobhraj dort toujours dans une prison népalaise. Son casier judiciaire chargé, sous d’autres juridictions, revient parfois comme un ultime argument pour tenter de cautionner une condamnation vide de raison juridique. Mais peut-être pas de raison d’État. Le 25 octobre 2010, le chef de cabinet de l’Élysée, Guillaume Lambert a rédigé une lettre – que nous avons pu consulter – dans laquelle il exprime toute l’empathie de l’État français pour le cas Sobhraj. Sans vraiment convaincre.

“La plus redoutable des armes, ici, c’est cet ordinateur“. Pourquoi ? Parce que “celui qui prend des photos, et les envoie sur Internet, est plus dangereux que celui qui possède un fusil.”

“Traqués : enquête sur les marchands d’armes numériques”, le très bon documentaire de la société de production Premières lignes qui sera diffusé sur Canal Plus ce mercredi 14 mars 2012 à 23H15 (entre autres rediffusions), met les pieds dans le plat. Une enquête au long cours, à laquelle nous sommes fiers d’avoir été associés.

Menée par le journaliste Paul Moreira, elle permet de découvrir comment des journalistes, écrivains et blogueurs libyens ont été incarcérés et torturés par les nervis de Kadhafi, grâce au système Eagle, conçus par Amesys, un marchand d’armes français. Extrait :

La France a certes, en 2011, notablement contribué à libérer la Libye. Mais ses journalistes, écrivains et blogueurs libyens n’auraient jamais pu être incarcérés et torturés si, au cours des années précédentes, la société française Amesys – avec l’aval de Nicolas Sarkozy, Claude Guéant, Brice Hortefeux et avec Ziad Takieddine pour intermédiaire – n’avait vendu des systèmes de surveillance à Kadhafi, au nom de la “lutte contre le terrorisme“.

La semaine dernière, le service communication de Bull, qui a racheté Amesys en 2010, cherchait désespérément à contacter Paul Moreira pour lui annoncer que leur groupe venait finalement de décider de se séparer d’Eagle, au motif, d’après Philippe Vannier, président d’Amesys devenu celui de Bull, que ce produit pesait “moins de 0,5% du chiffre d’affaires du groupe“, et qu’il n’était plus ni “stratégique (ni) significatif pour nous“.

OWNI publiera demain un livre consacré à ce scandale, avec de nouvelles preuves de l’implication “personnelle” de Claude Guéant, Brice Hortefeux et Nicolas Sarkozy dans ce projet de “surveillance massive” de l’Internet libyen. Pensé et conçu par les services de renseignement français comme un “test” susceptible d’être déployé ailleurs. En attendant, les témoignages recueillis par Premières lignes, et dont la société a mis en ligne sur le site de Canal Plus quatre extraits en versions longues, sont édifiants.

On y voit notamment les trois journalistes, écrivains et blogueurs irakiens arrêtés et incarcérés par les services de sécurité de Kadhafi expliquer comment ils ont été mis dans l’impossibilité de nier ce qui leur était reproché, leurs geôliers disposant de tous leurs emails, SMS et contacts. Leurs crimes : avoir discuté, par mail ou téléphone, de tracts à distribuer, de photos et vidéos à mettre en ligne, ou encore d’être “en contact avec l’étranger“. Leurs témoignages font froid dans le dos.

Jalal Al Kwasi raconte ainsi comment il a été torturé, frappé de “coups de pied et de barre de fer“, une capuche sur la tête, les mains “très serrées“. Pour Ataf Al Atrach, “il y avait des ordres clairs : il fallait exécuter tous ceux qui résistaient avec leur fusil ou avec leur plume“, parce que “le mot internet était devenu synonyme de danger pour Kadhafi“, explique Habib Al Amin :

“Tu es un traître. Les traître, on les tue”. Je lui ai répondu que j’étais écrivain et blogueur. Il m’a dit : “tu as mis de l’huile sur le feu sur internet et le chaos dans le pays”. Je lui ai dit “si tu as des preuves montre les”. Il m’a dit “oui j’ai des preuves”. Et il a apporté les preuves. Des emails, des écoutes téléphoniques, des textos, tous les noms des gens avec qui j’étais en contact.

“Malheureusement“, renchérit Al Amin les entreprises qui ont permis aux services de renseignement de Kadhafi d’espionner les Libyens “sont occidentales“. Et s’ils ont été arrêtés, c’est parce qu’une entreprise française, Amesys, avait vendu à Kadhafi son système Eagle de surveillance de l’internet :

Kadhafi nous a tué, torturé, emprisonné. Vous l’avez aidé à accéder à notre vie privée. Vous avez facilité les arrestations et les exécutions.
C’est une honte, c’est immoral, inhumain que ces entreprises fonctionnent toujours, qu’elles ne se soient pas excusées.

Outre ses rencontres avec les Libyens incarcérés, on y voit aussi Bruno Samtmann, le responsable défense d’Amesys qui, il y a quelques mois, avait expliqué que son “produit” avait été “imaginé pour chasser le pédophile, le terroriste, le narcotrafiquant“. Maintenant, il estime que son logiciel espion aurait été “détourné” de sa finalité.

À l’occasion de la publication des SpyFiles, en partenariat avec WikiLeaks,sur les marchands d’armes de surveillance numérique, OWNI venait de révéler que les adresses emails d’une dizaine de figure historique de l’opposition libyenne, dont plusieurs vivaient en exil en Grande-Bretagne et aux Etats-Unis, figuraient dans le mode d’emploi d’Eagle, rédigé par un employé d’Amesys.

Interrogé par Moreira, Samtmann cherche à relativiser sa responsabilité, à jouer sur les mots, en expliquant qu’Amesys n’a pas vendu à Kadhafi de systèmes d’”écoute“… jusqu’à ce que le journaliste lui montre la proposition de contrat portant sur un système d’écoute GSM.

Cette proposition de contrat, que nous publierons demain, avec une vingtaine d’autres documents inédits, révèle comment le marché a été négocié par Ziad Takieddine, avec le soutien de Claude Guéant et Brice Hortefeux, afin de répondre à la volonté conjointe de Nicolas Sarkozy et de Mouammar Kadhafi de développer des accords “sécuritaires” communs.

Interrogé par Paul Moreira sur le fait qu’Abdallah Senoussi, son “client“, et donneur d’ordres, responsable des services de renseignement de Kadhafi, avait été condamné à la prison à perpétuité par la justice française pour son implication dans l’attentat du DC-10 de l’UTA, qui avait fait 170 morts, dont 54 Français, Bruno Samtmann, qui expliquait sur France Télévision avoir conçu Eagle pour traquer les terroristes, répond à Canal+ que “moi et la politique, ça fait deux“…

Le technicien d’Amesys explique, de son côté, qu’Eagle était “une opération typique, commandée par les services extérieurs français avec les services locaux, et l’industriel qui vient faire l’opération apporte la technologie, mais derrière y’a un gros encadrement par les services extérieurs :

Derrière, y’a des ententes entre pays et services extérieurs, et donc entre la DGSE, le bras armé de la France pour exporter le savoir-faire stratégique et donc aussi éventuellement mettre en place des opérations, parce que ça pouvait aussi nous intéresser de récupérer des informations en Libye; mais la réalité c’était que c’était aussi un peu un ban d’essai grandeur nature, sous contrat, pour valider sur le terrain un concept : l’interception massive.

Sur le marché y’a des sociétés qui se battent pour faire des interceptions, et le différentiateur d’Amesys c’était de dire : nous, on prend tout. Et la Libye c’était un des rares clients à dire : “nous, on est interessé par ce concept-là”.

Interrogé par Moreira pour savoir qui, des Français ou des Libyens, a eu le premier l’idée de concevoir ce système de surveillance de l’Internet, “à l’échelle d’une nation“, Ziad Takieddine présente Claude Guéant comme l’”homologue” d’Abdallah Senoussi, et explique que c’était une volonté des deux pays “dans le cadre des accords sécuritaires” entre la France et la Libye :

Demain, OWNI Éditions publiera donc une vingtaine de documents inédits démontrant l’implication de Claude Guéant, Brice Hortefeux et Nicolas Sarkozy dans ce contrat, à l’occasion de la publication d’un livre numérique consacré à l’histoire de ce scandale. Stay tuned… Bull voudrait nous faire croire que le problème est règlé, mais l’histoire ne fait que commencer.

En août dernier, le Wall Street Journal visitait un centre d’interception des télécommunications à Tripoli et confirmait, photo du logo d’Amesys à l’appui, que cette société française avait bien fourni à la Libye son système Eagle de surveillance massive de l’Internet. Parmi les personnes espionnées par les “grandes oreilles” pro-Kadhafi figurait Khaled Mehiri, un journaliste libyen de 38 ans qui avait eu le courage de rester en Libye, malgré le harcèlement judiciaire dont il faisait l’objet, comme le révèle aujourd’hui le WSJ.

Mehiri, originaire de Benghazi, avait profité de la libéralisation de l’accès à l’Internet en Libye, en 2004, pour publier ses articles sur différents sites d’information, y compris d’opposition. En 2007, il commençait à travailler pour celui d’Al Jazeera. Ses articles, critiquant le régime de Kadhafi, lui valurent plusieurs procès de la part de proches des services de renseignement, puis d’être condamné, en 2009, pour avoir travaillé avec un média étranger sans y avoir été autorisé. Il venait en effet d’accorder une interview à Al Jazeera où il accusait Abdallah Senoussi, l’un des deux principaux responsables des services de renseignement libyens, d’avoir été présent le jour où 1 200 prisonniers furent massacrés, en juin 1996, dans la prison d’Abu Salim, près de Tripoli.

Je voulais être un journaliste professionnel et libre dans mon pays. Pour cette raison, j’ai décidé de ne pas partir et de continuer mon travail, quelles que soient les circonstances, ou les menaces dont je pourrais faire l’objet.

Accentuant leurs pressions et harcèlements, les services de renseignement accusèrent Mehiri d’espionnage et d’atteintes à la sécurité nationale, ce qui lui valu quelques interrogatoires supplémentaires. Le 16 janvier 2011, deux jours seulement après la fuite du dictateur tunisien Ben Ali, et donc le début du “printemps arabe“, Mehiri était convoqué par Abdallah Senoussi, quelques jours après qu’un cousin de Kadhafi lui ait confirmé que le régime avait accès à ses e-mails : “il a même été jusqu’à préciser la couleur utilisée par mes éditeurs quand ils modifient des passages de mes articles“.

Pour se rendre à la convocation, Mehiri décide de porter un jean, des chaussures de tennis et une vieille veste, un signe d’irrespect dans la culture libyenne, mais destiné à faire comprendre à Senoussi qu’il n’avait pas peur de lui. Leur rencontre dura quatre heures, durant lesquelles le responsable des services de renseignement lui fit comprendre que la Libye avait effectivement besoin d’être réformée, mais qu’il serait préférable qu’il cesse de donner la parole à des opposants, d’autant qu’il pourrait être arrêté, à tout moment, par les autorités. En discutant avec lui, Mehiri s’aperçut qu’il savait tout de lui.

Terroriser un peuple

De fait, son dossier, auquel le WSJ a eu accès, montre qu’il était espionné depuis le mois d’août 2010, au moyen du logiciel Eagle d’Amesys. Les journalistes ont en effet trouvé des dizaines d’e-mails et conversations privées qu’il avait tenues sur Facebook, que les services de renseignement libyens avaient imprimé et qui portaient, en en-tête, “https://eagle/interceptions”. Avant même que ses articles ne soient commandés, ou qu’il ne commence à enquêter, les “grandes oreilles” libyennes connaissaient les sujets qu’il proposait aux rédactions avec lesquelles il travaillait.

La majeure partie des e-mails interceptés avaient été échangés avec d’autres journalistes, dont ceux d’Al Jazeera. On y découvre que Mehiri enquêtait sur des affaires de corruption, sur l’argent que la Libye était prête à rembourser aux victimes de l’IRA – que Kadhafi avait soutenu -, ou que son pays refusait de verser aux victimes du massacre de 1996… Dans un autre des e-mails, il discutait des menaces proférées à son encontre ainsi qu’à celui d’un autre journaliste libyen, auprès d’un chercheur d’Human Rights Watch :

Merci de ne pas révéler mon identité, ce qui pourrait me mettre en danger.

Le 25 février, alors que la Libye avait commencé à se libérer, un autre e-mail était intercepté. Envoyé par un professeur de droit libyenne à Mehiri ainsi qu’à des employés du département d’Etat américain, et des Nations Unies, il proposait à Google de couvrir en temps réel, sur Google Earth, le suivi des évènements en Libye, afin d’aider les rebelles à savoir où se trouvaient les soldats fidèles au régime, de sorte de pouvoir soit les éviter, soit aller les combattre, et donc d’”achever la libération” de la Libye.

Mehiri, lui, ne lisait plus ses e-mails. Ayant couvert les premières manifestation à Benghazi, le 15 février, il avait préféré entrer en clandestinité, afin de protéger sa femme et son jeune fils, persuadé que le régime chercherait à lui faire payer tout ce qu’il avait écrit. Et ce n’est qu’en septembre dernier, après la libération de Tripoli, que Mehiri a refait surface. De retour à Benghazi, il a recommencé, depuis, à écrire pour Al Jazeera.

Pour lui, la décision d’Amesys de vendre à la Libye un système d’espionnage de l’Internet, en dépit du caractère répressif du régime de Kadhafi, est “un acte de lâcheté et une violation flagrante des droits de l’homme“. Paraphrasant Mac Luhan, Mehiri a précisé au WSJ que le médium est le message, et que “la surveillance, en tant que telle, suffit à terroriser un peuple” :

Pour moi, ils sont donc directement impliqués dans les persécutions du régime criminel de Kadhafi.

Une nouvelle “touche” pour Amesys

Dans le contrat proposé à la Libye, Amesys avait fait figurer une mention stipulant que deux ingénieurs français seraient envoyés à Tripoli pour “aider le client de quelque manière que ce soit“. Sur le mur du centre d’interception des télécommunications que le Wall Street Journal avait pu visiter, une affiche mentionnait le n° de téléphone et l’adresse e-mail d’un employé d’Amesys, Renaud R., susceptible de répondre à toute question technique et qui, contacté depuis par le WSJ, a refusé de répondre à ses questions.

Le 31 août dernier, suite aux révélations du WSJ, Renaud R. écrivait, sous le pseudonyme Skorn qu’il utilise pour chatter avec ses amis, que “Khadafi est sans doute un des clients les plus exigeants et intransigeant de ce monde. Ce qui prouve que notre système marche(ait) plutot bien quand même !“.

Interrogé sur le fait que cela portait un coup, en terme d’image, à son entreprise, Skorn répondait laconiquement que “le grand public n’est jamais notre client“, tout en précisant :

par contre, ça nous a déjà généré une touche commerciale pour un pays qu’on ne connaissait pas ! ;-)

Ces dernières années, un quarteron d’entreprises privées a développé des logiciels espions visant à déjouer tous les mécanismes de sécurité ou de chiffrement des communications utilisés par ceux qui cherchent à protéger leurs données, et leur vie privée. Ces logiciels, ce sont des chevaux de Troie. OWNI, en partenariat avec WikiLeaks dans le cadre de la publication des SpyFiles, s’est penché sur les documents se rapportant à ces technologies très particulières.

Comme dans la mythologie, un cheval de Troie se fait passer pour ce qu’il n’est pas, permet de prendre le contrôle total de l’ordinateur qu’il infecte, à distance, de sorte de pouvoir y lire les données avant même qu’elles ne soient chiffrées et donc sécurisées, ou encore de pouvoir y activer le micro, ou bien la caméra, et cætera.

Les hackers allemands du Chaos Computer Club ont ainsi récemment révélé comment la police allemande utilisait, en toute illégalité selon eux, un tel virus informatique pour espionner les ordinateurs de criminels supposés.

Mouchards

La police suisse a reconnu utiliser elle aussi le même cheval de Troie. Début novembre, la France publiait de son côté, au Journal Officiel, la liste des services, unités et organismes habilités à installer de tels logiciels espions permettant, à distance, la “captation des données informatiques“, terme officiel pour qualifier l’utilisation de mouchards informatiques.

Les documents internes de la société FinFisher démontrent ainsi toute l’étendue du savoir-faire de ces pirates informatiques au service, officiellement, des seuls forces de l’ordre et des services de renseignements. Dans le cadre de l’opération SpyFiles menée avec WikiLeaks, nous avons pu recueillir plusieurs vidéos d’entreprise de cette société, réalisées à des fins commerciales, pour convaincre leurs clients – essentiellement des États – de la simplicité de leurs outils d’espionnage. En voici un montage (la musique et les explications sont d’origine), révélateur du fonctionnement de ces chevaux de Troie :

Cliquer ici pour voir la vidéo.

Chiffrés

Un reportage diffusé dans le magazine Zapp de la chaîne de télévision allemande ARD [en] montre qu’ils ont aussi servi à espionner des défenseurs des droits de l’homme en Egypte. Pire : on y découvre que si le discours officiel des autorités allemandes est de soutenir les défenseurs des libertés de ce “printemps arabe“, dans les faits, elles soutiennent également, et activement, l’exportation de ces armes de surveillance, même et y compris à des dictateurs ou des régimes totalitaires où elles sont utilisées pour réprimer la population, au motif qu’il s’agirait d’un “marché du futur“.

Ces comportements, favorisant le développement de telles technologies intrusives, s’expliquent par l’évolution de nos relations aux télécommunications. Car, signe des temps, si la majeure partie des conversations téléphoniques et des données échangées sur le Net circulent en clair, une partie de plus en plus importante de ces flux d’information sont désormais chiffrés.

En 1991, Philip Zimmermann, un développeur américain, met en ligne Pretty Good Privacy (PGP), le premier logiciel de cryptographie grand public permettant à ses utilisateurs de pouvoir échanger des emails ou documents chiffrés, et donc sécurisés au sens où, même interceptés, ils ne peuvent pas être déchiffrés.

Jusqu’alors, ce genre de systèmes n’était utilisé que par les services de renseignements, les militaires, ambassades, gouvernements et, bien entendu, les espions. Mais dans la mesure où les données circulant sur le Net sont à peu près aussi protégées que le sont les cartes postales, Zimmermann estima que les internautes devaient pouvoir fermer l’enveloppe, et donc communiquer en toute confidentialité.

Dans les faits, la robustesse de PGP s’apparenterait plutôt à celle d’un coffre-fort. Pour communiquer, leurs utilisateurs doivent installer le logiciel, et créer une “clef publique“, sorte de coffre-fort ouvert et mis à disposition des autres utilisateurs, et une “clef privée“, qui permet d’ouvrir le coffre-fort une fois celui-ci fermé. Si quelqu’un veut communiquer avec moi, il place le message dans mon coffre-fort public, claque la porte, que je serai le seul à pouvoir ouvrir en utilisant ma clef privée.

La mise en ligne de PGP visait à améliorer la protection des droits de l’homme et la défense de la vie privée, comme il l’expliqua brillamment dans un texte placé sous l’égide du Mahatma Gandhi. Dans les faits, elle lui valut aussi d’être poursuivi, pendant trois ans, par les autorités américaines, qui voyaient d’un très mauvais œil ce qu’elles qualifièrent alors d’“exportation illégale de matériel de guerre”.

Dans un grand nombre de pays, la cryptographie relève en effet de cette catégorie de matériels sensibles que l’on ne peut pas exporter sans l’aval des autorités. A l’époque, Zimmermann bénéficia du soutien d’internautes du monde entier, et les autorités américaines abandonnèrent leurs poursuites. Son logiciel était accessible, et utilisé, dans le monde entier.

Dans le même temps, l’essor du commerce électronique rendait obligatoire la libéralisation de la cryptographie : le seul moyen de sécuriser les transactions est en effet de faire de sorte que l’on puisse envoyer son n° de carte bancaire sur le Net sans risque de le voir intercepté. Et c’est précisément pour cette raison que la France, qui la classait jusqu’alors comme relevant du matériel de guerre, libéralisa finalement la cryptographie à la fin des années 90.

Vie privée

Depuis, un nombre croissant de sites, non seulement de commerce électronique, mais également de réseaux sociaux, fournisseurs de mails, etc., sont accessibles en https (“s” pour “sécurisé“), rendant inopérante les écoutes classiques. L’EFF, pionnière des organisations de défense des droits de l’homme et de la vie privée sur le Net, a ainsi développé un plugin pour Firefox, HTTPS everywhere, afin de généraliser, autant que faire se peut, l’utilisation du https.

Skype et BlackBerry, utilisés par des centaines millions de personnes pour se téléphoner, ou échanger des données, dans le monde entier, sont eux aussi un cauchemar pour les espions aux “grandes oreilles“, dans la mesure où, même interceptées, les communications, chiffrées, sont a priori indéchiffrables.

GnuPG, le logiciel de protection de la vie privée qui permet de chiffrer, sécuriser et authentifier données et e-mails, et qui a supplanté PGP, est de son côté utilisé par la quasi-totalité des développeurs de logiciels libres. Et, au vu de la montée en puissance des technologies de surveillance, nombreux sont désormais les internautes à utiliser des coffre-forts électroniques, tel TrueCrypt, pour sécuriser leurs données et éviter qu’elles ne puissent tomber dans de mauvaises mains.

Afin de répondre aux risques d’espionnage informatique, ou de pertes de données confidentielles, les autorités elle-mêmes encouragent les entreprises à apprendre à leurs salariés comment s’initier à la sécurité informatique, et sécuriser leurs communications (voir, à ce titre, mon Petit manuel de contre-espionnage informatique).

C’est cette évolution des pratiques numériques qui a favorisé l’émergence de systèmes de surveillance et d’intrusion de plus en plus sophistiqués, qui répondent de nos jours à la demande de tous les États. La question reste de savoir qui encadrera l’exportation de ces armes de surveillance de sorte que nos démocraties cessent de porter aide et assistance aux dictateurs…

Retrouvez notre dossier sur le sujet :
Un gros requin de l’instruction et Une journée sous surveillance

Tous les articles OWNI/WikiLeaks sont là

Simple comme une clef USB

Le logo de FinFisher ? Un aileron de requin (fin, en anglais). Leader des “techniques offensives de recueil d’information“, FinFisher, qui affirme ne travailler qu’avec des services de renseignement et forces de l’ordre, affiche clairement la couleur. Son portefeuille de produits propose une gamme complète d’outils d’espionnage informatique et de “solutions d’écoute, de contrôle et d‘infection à distance” des ordinateurs à même de “prendre le contrôle (et) d‘infecter à distance les systèmes cibles“, afin de pouvoir espionner les messages reçus ou envoyés, d’accéder à toutes ses données, même et y compris si elles sont chiffrées.

Son portfolio de présentation présente toute la gamme de solutions, qui n’ont rien à envier aux outils utilisés par les pirates informatiques, mais qui donnent la mesure de ce qu’il est possible de faire aujourd’hui. Dans une autre présentation de ses activités, datant de 2007, FinFisher se vantait ainsi d’”utiliser et incorporer les techniques de hacking black hat (du nom donné aux hackers qui oeuvrent du côté obscur de la force, et en toute illégalité, NDLR) afin de permettre aux services de renseignement d’acquérir des informations qu’il serait très difficile d’obtenir légalement.”

Vous avez la possibilité d’accéder physiquement à l’ordinateur de votre cible ? Insérez-y FinUSB, une petite clef USB créée tout spécialement pour extraire d’un ordinateur l’intégralité des identifiants et mots de passe qui s’y trouvent, les derniers fichiers ouverts ou modifiés, l’historique des sites visités, des communications instantanées, le contenu de la poubelle, etc., sans même que son propriétaire ne s’en aperçoive : il suffit en effet d’insérer la clef USB dans l’ordinateur, au prétexte de partager avec lui tel ou tel fichier, pour que le logiciel espion siphonne, de façon subreptice et sans se faire remarquer, l’intégralité des données.

La technique est aussi utilisée par des espions qui, dans des salons professionnels, ou dans les bureaux de ceux qu’ils veulent espionner, laissent traîner une clef USB, espérant que leur cible, curieuse, cherche à la lire… et donc infecte son ordinateur.

Vous n’avez pas d’accès physique à l’ordinateur à espionner ? Pas de problème : “pensé et créé par des spécialistes travaillant depuis plus de 10 ans dans le domaine de l’intrusion” pour casser les mécanismes utilisés pour sécuriser les réseaux sans-fil de type Wi-Fi (WEP ou WPA1 & 2), FinIntrusion Kit, permet de “surveiller à distance webmail (Gmail, Yahoo…) et réseaux sociaux (Facebook, MySpace)” utilisés pas la cible à espionner, ses blogs, forums, etc., et de récupérer ses identifiants et mots de passe, même et y compris si la cible utilise le protocole SSL, protocole de sécurisation des échanges sur Internet.

“Cheval de Troie professionnel” (sic) utilisé, “depuis des années“, pour faciliter le placement sous surveillance des cibles qui se déplacent régulièrement, chiffrent leurs communications ou se connectent de façon anonyme, “et qui résident dans des pays étrangers” (c’est FinFisher qui souligne), FinSpy vise de son côté à prendre le contrôle, à distance et de façon furtive, de tout ordinateur utilisant “les principaux systèmes d’exploitation Windows, Mac et Linux“, et sans qu’aucun des 40 antivirus les plus utilisés ne soit capable de le reconnaitre, et donc de le bloquer.

Une fois installé, FinSpy peut espionner en “live” le ou les utilisateurs de l’ordinateur infecté (en activant, à leur insu, webcam et microphone), mais également le géolocaliser, en extraire toutes les données, intercepter les échanges de mail et autres conversations, et notamment les appels et transferts de fichiers effectués avec Skype (dont l’algorithme de chiffrement, propriétaire mais créé par des développeurs estoniens qui ont connu la Russie soviétique, a été conçu pour sécuriser les communications). Pour plus de furtivité, la connexion, à distance, passe par des proxies anonymiseurs empêchant de remonter jusqu’aux ordinateurs des espions.

FinSpy existe aussi en version mobile, afin d’aider les autorités “qui ne disposent pas de système d’interception téléphonique” à espionner les communications (voix, SMS, MMS, mails) émanant de téléphones portables (BlackBerry, iPhone, Windows ou Android), même et y compris si elles sont chiffrées, et d’accéder aux données (contacts, agendas, photos, fichiers) qui y sont stockées, ou encore de les géolocaliser en temps réel.

Contaminé en consultant un site

FinFly a de son côté été conçu pour installer, de façon subreptice, un cheval de Troie permettant le contrôle à distance de l’ordinateur de ces suspects qui ne cliquent pas sur les pièces jointes qui leur sont envoyées, et savent peu ou prou comment protéger leurs ordinateurs :

Il est quasi-impossible d’infecter les ordinateurs des cibles particulièrement au fait des questions de sécurité informatique, dont le système d’exploitation est régulièrement mis à jour et qui ne comporte donc pas de faille de sécurité facilement exploitable.

FinFlyUSB permet ainsi d’infecter un ordinateur par le simple fait d’y connecter une clef USB. FinFly LAN (pour Local Area Network, ou réseau local) propose de faire de même, mais sans accès physique aux ordinateurs à espionner, en s’infiltrant dans un réseau (câble ou Wi-Fi, et notamment dans ceux des cybercafés ou des hôtels). FinFly ISP (pour Internet Service Provider, ou fournisseur d’accès internet, FAI en français) procède de manière encore plus massive, mais en s’infiltrant au sein même des FAI, afin de pouvoir déployer leurs logiciels espions “à l’échelle d’une nation“.

Dans les deux cas, l’objectif est d’infecter, “à la volée“, les fichiers que des cibles seraient en train de télécharger, d’envoyer de fausses mises à jour de sécurité vérolées, ou encore de “manipuler” les pages web visitées pour y insérer le cheval de Troie, de sorte que la simple consultation d’une page web entraîne la contamination des ordinateurs de ceux qui la visite.

Pour cela, FinFisher a développé FinFly Web, qui permet de créer des pages web piégées dont la simple consultation entraîne l’infection des ordinateurs qui les consultent, et sans qu’ils ne s’en aperçoivent. FinFisher explique ainsi comment des “cibles” ont été espionnées en visitant un sites web créé tout spécialement pour attirer leur attention.

Le portfolio explique également qu’il est possible de faire croire à l’utilisateur à espionner qu’il doit télécharger un fichier (plug-in Flash ou RealPlayer, applet Java, etc.) dûment signé par une société bien connue du marché, “par exemple Microsoft“, laissant entendre, soit que ces compagnies collaborent avec FinFicher, soit qu’il a réussi à pirater leurs certificats de sécurité censés pourtant précisément garantir l’authenticité des fichiers téléchargés…

FinFireWire permet, de son côté, d’accéder au contenu des ordinateurs (Windows, Mac et Linux) dont l’accès est protégé par un mot de passe, sans y laisser de trace. Le portfolio de FinFisher précise même qu’il permet également d’espionner sans contrôle judiciaire, évoquant le cas de policiers entrés dans l’appartement d’un suspect dont l’ordinateur, allumé, est protégé par un mot de passe :

Dans la mesure où ils ne sont pas autorisés, pour des raisons légales, à installer un cheval de Troie dans l’ordinateur (du suspect), ils risquent de perdre toutes les données en éteignant l’ordinateur, si son disque dur est intégralement chiffré. FinFireWire leur a permis de débloquer l’ordinateur du suspect et de copier tous ses fichiers avant de l’éteindre et de le ramener au quartier général.

La “cyberguerre” à portée de clic

FinFisher propose également du “FinTraining” afin d’apprendre à ses clients à, “par exemple” : tracer des emails anonymes, accéder à distance à des comptes webmails, s’initier à l’intrusion sans-fil, “attaquer les infrastructures critiques“, sniffer les identifiants, mots de passe et données circulant sur les réseaux, notamment les hotsposts Wi-Fi des cybercafés et des hôtels, intercepter les communications téléphoniques (VOIP et Dect), craquer les mots de passe… et autres techniques et méthodes de “cyberguerre“.

Gamma Group, la société britannique à l’origine de FinFisher, se présente comme fournisseur de systèmes et technologies d’interception des télécommunications (internet, satellite -Thuraya, Inmarsat-, GSM, GPRS, SMS, etc.) à l’intention des agences gouvernementales et forces de l’ordre, à qui elle peut également vendre micro-espions et micro-caméras cachées de vidéosurveillance, camionnettes d’interception et outils de crochetage permettant d’ouvrir n’importe quelle porte…

Créée en 1990 et présente à Munich, Dubai, Johannesburg, Jakarta et Singapour, Gamma n’évoque nulle part le fait qu’elle se refuserait à vendre ces systèmes à des pays non démocratiques, ou connu faire peu de cas des droits de l’Homme.

En avril dernier, le Wall Street Journal révélait que des documents, découverts au siège de la “division de la pénétration électronique” (sic) de la police secrète égyptienne, démontraient que son logiciel espion avait bel et bien été utilisé pour espionner des militants politiques, les communications de l’un d’entre-eux ayant ainsi été espionnées. Il expliquait notamment l’importance d’utiliser Skype “parce qu’il ne peut être pénétré par aucun dispositif de sécurité“…

Basem Fathi, un activiste égyptien de 26 ans, a ainsi découvert que les services de sécurité égyptiens avaient été jusqu’à ficher sa vie amoureuse, et ses détours à la plage : “je crois qu’ils collectionnaient tous les petits détails dont ils entendaient parler en nous écoutant, avant de l’enregistrer dans des fichiers“.

Un mémo “Top Secret” du ministère de l’Intérieur égyptien en date du 1er janvier 2011, que le WSJ a pu consulter, révèle que les autorités égyptiennes avait payé 388 604€ pour pouvoir tester le logiciel espion pendant cinq mois, et disposer du soutien de quatre employés du revendeur égyptien de Gamma, Modern Communication Systems. Ce qui leur a permis d’espionner de nombreux militants, allant jusqu’à la “pénétration réussie de leurs réunions… quand bien même elles étaient chiffrées par Skype“.

Les Egyptiens n’étaient pas les seuls à être espionnés : les documents ont également révélé que les conversations de Sherif Mansour, représentant de l’ONG américaine Freedom House, venu en Egypte surveiller le bon déroulement des élections, avaient elles aussi été interceptées. Conscient de gêner les autorités, il avait précisément mis en place un “protocole de sécurité consistant notamment à utiliser Skype aussi souvent que possible“, au motif qu’il est plus sécurisé que les emails…

Interrogé par le WSJ, Mr Mansour se dit surpris : “quand ils arrêtaient des blogueurs, ils les torturaient pour obtenir leurs mots de passe. Nous avions donc l’impression qu’ils ne pouvaient pas espionner nos conversations“.

A l’issue de la période d’essai, en décembre 2010, le ministère de l’Intérieur, satisfait, approuva l’achat du logiciel de Gamma. Le printemps arabe et la révolution égyptienne l’en a empêché.

Retrouvez notre dossier sur les Spy Files :

- Mouchard sans frontière

- La carte d’un monde espionné

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.

Vous pouvez également me contacter de façon sécurisée via ma clef GPG/PGP (ce qui, pour les non-initiés, n’est pas très compliqué). A défaut, et pour me contacter, de façon anonyme, et en toute confidentialité, vous pouvez aussi passer par privacybox.de (n’oubliez pas de me laisser une adresse email valide -mais anonyme- pour que je puisse vous répondre).

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Retrouvez notre dossier sur le sujet :
Une journée sous surveillance et Des chevaux de Troie dans nos démocraties

Tous les articles OWNI/WikiLeaks sont là

WikiLeaks rend public aujourd’hui près de 1 100 documents internes, plaquettes commerciales et modes d’emploi des produits commercialisés par les industriels des systèmes de surveillance et d’interception des télécommunications.

Ces nouvelles fuites montrent un marché de la surveillance de masse représentant désormais cinq milliards de dollars, avec des technologies capables d’espionner la totalité des flux Internet et téléphoniques à l’échelle d’une nation. Les fleurons de ce marché s’appellent Nokia-Siemens, Qosmos, Nice, Verint, Hacking Team, Bluecoat ou Amesys. Les documents détaillant leurs capacités d’interception, contenant une multitude de détails technologiques, seront progressivement mis en ligne par WikiLeaks.

OWNI, partenaire de cette opération baptisée SpyFiles avec Privacy International et The Bureau of Investigative Journalism, deux ONG britanniques, ainsi que le Washington Post, The Hindu, L’Espresso, la chaîne allemande ARD, a tenté de visualiser cette industrie d’un genre nouveau, en créant une cartographie interactive sur un site dédié, SpyFiles.org. Et Andy Mueller-Maguhn, ancien porte-parole du Chaos Computer Club allemand (le plus influent des groupes de hackers au monde), également associé à cette enquête, y consacre un site, BuggedPlanet.info – traduisez “planète sur écoute”.

Marchand d’armes de surveillance

À ce jour, nous avons répertorié 124 de ces marchands d’armes de surveillance, utilisant des technologies d’interception, dont 32 aux États-Unis, 17 au Royaume-Uni, 15 en Allemagne, dix en Israël, huit en France et sept en Italie… À l’instar des marchands d’armes “traditionnels“, la majeure partie d’entre eux sont situés dans des pays riches, et démocratiques. 12 des 26 pays recensés font ainsi partie de l’Union européenne qui, au total, totalise 62 de ces entreprises.

87 vendent des outils, systèmes et logiciels de surveillance de l’Internet, 62 de surveillance du téléphone, 20 des SMS, 23 font de la reconnaissance vocale, et 14 de la géolocalisation GPS. Sept d’entre elles font également dans la “lutte informatique offensive“, et commercialisent donc des chevaux de Troie,rootkits et autres backdoors (portes dérobées) permettant de prendre le contrôle d’ordinateurs, à distance, et à l’insu de leurs utilisateurs. Ces systèmes espions ont ceci de particulier par rapport à ceux utilisés par les pirates informatiques qu’ils ne seraient pas repérés par la “majeure partie” des éditeurs d’antivirus et autres solutions de sécurité informatique.

Dans nos démocraties, la commercialisation, et l’utilisation, de ces systèmes de surveillance et d’interception des télécommunications est strictement encadrée. Mais rien n’interdit, en revanche, de les vendre à des pays moins regardants, même et y compris à des dictatures : bien que conçus à des fins d’espionnage, ils ne font pas partie de ces armes dont l’exportation est encadrée par les lois nationales, européennes ou internationales. Ce n’est donc peut-être pas moral, mais tout à fait légal, en l’état.

Et les marchands d’armes se font fort d’exploiter ce vide juridique, comme le reconnaissait récemment Jerry Lucas, l’organisateur d’ISS, le salon international qui rassemble tous les deux ou trois mois les professionnels de l’interception des communications :

Les systèmes de surveillance que nous exposons dans nos conférences sont disponibles dans le monde entier. Certains pays les utilisent-ils pour supprimer certaines déclarations politiques ? Oui, probablement. Mais ce n’est pas mon job de faire le tri entre les bons et les mauvais pays. Ce n’est pas notre métier, nous ne sommes pas des hommes politiques.

Notre business est de mettre en relation ceux qui veulent acheter ces technologies avec ceux qui les vendent. Vous pouvez bien vendre des voitures aux rebelles libyens, et ces voitures sont utilisées comme armes. General Motors et Nissan devraient-ils se demander comment leurs véhicules seront utilisés ? Pourquoi n’allez-vous pas également interroger les vendeurs de voiture ? C’est un marché ouvert. Vous ne pouvez pas enrayer la circulation de matériels de surveillance.

Interrogé par le Wall Street Journal, Klaus Mochalski, co-fondateur d’Ipoque, une société leader dans ce secteur, répondait de son côté que “c’est un dilemme, moral et éthique, auquel nous sommes constamment confrontés : c’est comme un couteau. Vous pouvez vous en servir pour trancher des légumes, mais vous pouvez également tuer votre voisin“… à ceci près que ces outils ne sont pas en vente libre dans n’importe quel magasin, et que les sociétés qui les commercialisent n’en font pas la promotion dans des foires commerciales ou marchés du coin, mais uniquement dans les salons réunissant marchands d’armes, et clients habilités à en acheter.

Silence radio

ISS interdit ainsi aux journalistes d’assister à ses conférences, et même d’entrer dans son salon. Et il était étonnant de constater, à visiter les nombreux stands spécialisés dans les technologies de surveillance présents au récent salon Milipol, qui s’est tenu à Paris en octobre dernier, que les représentants de ces derniers étaient bien plus frileux que les marchands d’armes traditionnels pour ce qui est de répondre aux questions des journalistes…

Contactée par OWNI, Amesys, la société française qui a vendu un système d’interception massive de l’Internet à la Libye de Kadhafi, se défausse ainsi auprès de son “client” :

Amesys est un industriel, fabricant de matériel. L’utilisation du matériel vendu (sic) est assurée exclusivement par ses clients.

A contrario, Thibaut Bechetoille, le PDG de Qosmos, une autre société française qui, à l’instar d’Ipoque, équipait ce même Big Brother libyen, et qui équipe également celui utilisé, actuellement, par les Syriens, a piteusement expliqué à l’agence Bloomberg que son conseil d’administration avait bien décidé de cesser ses activités en Syrie, mais que c’était “techniquement et contractuellement” compliqué…

A ce jour, quatre autres entreprises occidentales ont été identifiées comme prestataires de services des “grandes oreilles” syriennes : Area, une entreprise italienne qui a dépêché, en urgence, des équipes afin d’aider les services de renseignements syriens à identifier les (cyber) dissidents, Utimaco, filiale allemande de l’éditeur d’antivirus britannique Sophos – qui n’était pas au courant qu’Area utilisait ces systèmes en Syrie -, l’allemand Nokia Siemens, dont les équipements de surveillance de l’Internet auraient été transmis à la Syrie par son voisin iranien, et Bluecoat, une société américaine auquel le site reflets.info a consacré de nombreux articles.

On savait, depuis quelques années, que ces armes de surveillance étaient utilisées en Chine ou en Iran notamment, mais il a fallu attendre le printemps arabe, et les traces ou preuves laissées par ces marchands de surveillance (essentiellement occidentaux) en Tunisie, en Egypte, en Libye, à Bahrein ou en Syrie, pour en prendre toute la mesure.

La quasi-totalité de ces marchands d’armes de surveillance se targuent certes d’oeuvrer en matière de “lawful interception” (interceptions légales en français) et se vantent de travailler avec des ministères de la défense, de l’intérieur ou des services de renseignement. L’allemand Elaman, lui, va jusqu’à écrire, noir sur blanc, que cela permet aussi d’identifier les “opposants politiques” :

En matière de télécommunications, la notion de “rétention des données” porte généralement sur le stockage de toute information (numéros, date, heure, position, etc.) en matière de trafic téléphonique ou Internet. Les données stockées sont généralement les appels téléphoniques émis ou reçus, les e-mails envoyés ou reçus, les sites web visités et les données de géolocalisation.

Le premier objectif de la rétention des données est l’analyse de trafic et la surveillance de masse. En analysant les données, les gouvernements peuvent identifier la position d’un individu, de ses relations et des membres d’un groupe, tels que des opposants politiques.

Initialement développés afin de permettre aux services de renseignements d’espionner en toute illégalité, ces systèmes, outils, logiciels et autres “gadgets” conçus pour écouter, surveiller, espionner, traçabiliser ou géolocaliser quelqu’un “à l’insu de son plein gré“, sont aujourd’hui devenus un véritable marché. Interrogé par le WSJ, Jerry Lucas, l’organisateur d’ISS, expliquait ainsi que, parti de quasiment zéro en 2001, il avoisinerait aujourd’hui les 5 milliards de dollars de chiffre d’affaires, par an.

Les Spy Files sont publiés par WikiLeaks à cette adresse.

Retrouvez notre dossier sur les Spy Files :

- Mouchard sans frontière

- La carte d’un monde espionné

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.

Vous pouvez également me contacter de façon sécurisée via ma clef GPG/PGP (ce qui, pour les non-initiés, n’est pas très compliqué). A défaut, et pour me contacter, de façon anonyme, et en toute confidentialité, vous pouvez aussi passer par privacybox.de (n’oubliez pas de me laisser une adresse email valide -mais anonyme- pour que je puisse vous répondre).

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Ces matériels appartiennent à cinq grandes catégories :

• les systèmes de surveillance d’Internet (Internet monitoring),
• les outils de pénétration ou chevaux de Troie (Trojan),
• les systèmes d’écoutes téléphoniques (Phone monitoring),
• les outils de captation et d’analyse de la voix (Speech analysis),
• les systèmes d’interception des SMS (SMS monitoring),
• et les outils de géolocalisation (GPS Tracking).

Les Spy Files sont diffusés par WikiLeaks à cette adresse.

Application pensée par Paule d’Atha, réalisée par Abdelilah el Mansouri au développement et Marion Boucharlat au graphisme /-)

Retrouvez notre dossier sur les Spy Files :

- La surveillance massive d’Internet révélée

- La surveillance massive d’Internet révélée

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.