Cet article date de plus de neuf ans.

Des start-up du web au service des dictateurs

Elles sont italiennes, américaines, allemandes ou françaises. Pour ces entreprises, la vente de matériel de surveillance de masse à des dictateurs est un business comme un autre. Sous le couvert de sécurité informatique, elles aident à traquer des opposants politiques.
Article rédigé par Titouan Lemoine
France Télévisions
Publié Mis à jour
Temps de lecture : 5 min
Une carte de la situation de la censure sur Internet en 2011. Le rose indique une censure «pervasive», le rose pâle une censure substantielle, le jaune (comme la France) une situation tangente et le vert une bonne situation. (Commons)

En 2011, suite à la chute du régime de Mouammar Kadhafi en Libye, des journalistes du Wall Street Journal avaient réussi à trouver un bureau deserté par les services de sécurité libyens à Tripoli. Ils y avaient trouvé des ordinateurs remplis de documents et de conversations d’opposants interceptées. L’appareil portait le logo d’Amesys, filiale du groupe français Bull.
 
Ce fut le début de l’affaire Amesys, qui mit en lumière les ventes de matériel de surveillance avancée (son logiciel Eagle) par la société française au régime de Kadhafi. Le Tribunal de Grande instance de Paris avait alors été saisi et des promesses de mesures strictes sur les échanges entre régimes dictatoriaux et sociétés de sécurité faites.

Un an plus tard, une deuxième société française, Qosmos, était accusée par la Fédération internationale des droits de l'Homme et la Ligue des droits de l'Homme. Selon les deux associations, l'entreprise aurait aidé le régime de Bachar al-Assad à identifier et traquer ses opposants à l'intérieur de la Syrie en lui fournissant du matériel de surveillance. Qosmos a démenti et déposé une plainte pour dénonciation calomnieuse. La plainte des deux associations fait toujours son chemin dans le système judiciaire français.


Aujourd'hui, il faut se rendre à l’évidence : les régimes autoritaires n’ont aucun mal à se procurer l’équipement technique nécessaire pour intercepter et espionner les communications à l’intérieur de leur pays. Et il n'existe aucun arsenal législatif pour dissuader de nombreuses entreprises de sécurité occidentales de vendre des solutions «prêtes-à-utiliser» à coût réduit. Une situation abondamment dénoncée par l'Electronic Frontier Foundation.
 
Hacking Team : une entreprise typique
Dernièrement, The Intercept et Citizen Lab se sont intéressés à l’entreprise italienne Hacking Team. Cette compagnie basée à Milan propose des solutions de surveillance de masse à ses clients, dont le logiciel Remote Control System (RCS).
 
Pour un prix compris entre 200.000 et 1.000.000 d’euros, il permet à des gouvernements ou des forces de sécurité (les clients exclusifs de l’entreprise) d’opérer une surveillance «à la NSA» sur ses citoyens. A titre de comparaison, le budget de la NSA en 2013 était estimé à plus de 10 milliards de dollars.
 
La liste des clients de Hacking Team est confidentielle, mais Citizen Lab est parvenue à remonter les chaînes de proxys (des serveurs «relais» utilisés pour masquer le point d’origine et la destination d’une donnée) mise en place par RCS pour dissimuler ses utilisateurs. L'association a réussi à identifier 21 pays qui utilisent le logiciel, dont 9 sont classés par l'index de démocratie de The Economist comme «autoritaires» (Oman, Kazakhstan, Nigeria, Ouzbékistan, Soudan, Emirats Arabes Unis, Arabie Saoudite, Ethiopie et Azerbaïdjan).

Les pays qui utilisent les services de Hacking Team, selon Citizen Lab, identifiés en fonction de leur niveau de démocratie par l'index de «The Economist». En Vert (Corée du Sud), l'unique vraie démocratie. En jaune, les démocraties imparfaites. En orange, les régimes hybrides et en rouge, les régimes autoritaires. (Geopolis)
 
RCS avait été propulsé au premier plan médiatique après son utilisation au Maroc contre une équipe de journalistes citoyens, le site Mamfakinch. Citizen Lab explique que les ordinateurs du site avaient été infiltrés par une bonne vieille technique de phishing (hameçonnage), familière aux criminels du web.
 
Les journalistes avaient été appâtés par l’envoi d’un fichier nommé scandale(2).doc, accompagné de la mention (en français dans le texte) «Svp ne mentionnez pas mon nom ni rien du tout je ne veux pas d embrouilles». Une fois ouvert, le fichier installe RCS et permet au gouvernement marocain d’espionner toutes les conversations sur le réseau de Mamfakinch (Skype, Facebook et mails cryptés compris). RCS peut également être installé via une clé USB en cas d’accès direct (fouilles de police) ou en mêlant le programme à un téléchargement utile.
 
Difficile pourtant de faire un scandale contre Hacking Team. L’entreprise et son fondateur, David Vincenzetti, n’ont jamais caché leurs intentions. La page d’accueil de leur site internet déclare entre autres : «Ayez le contrôle total de votre cible, enregistrez tout !», et «des milliers de communications sont cryptées chaque jour, lisez les !»


Dans une intervention donnée à l’Espresso en 2011, Vincenzetti expliquait le fonctionnement de son entreprise avec candeur, ou cynisme : «Une fois que nous avons vendu le logiciel, son utilisation ne nous concerne plus. L’utilisateur en fait ce qu’il veut, nous ne conservons aucune donnée (…). Notre modèle économique, c’est la vente de mises à jour pour déjouer les progrès des pare-feu et antivirus.» Sa seule protection : «Nous ne vendons pas RCS à des pays sous embargo.»
 
The Intercept (le site de Glen Greenwald, qui avait révélé le scandale Snowden) s’est attardé sur les possibilités techniques de RCS. Le site s’est procuré les manuels d’utilisations du logiciel. Ses promesses sont au moins inquiétantes. «Il suffit d’une formation courte (2 semaines, selon Hacking Team) à un technicien moyen pour être en mesure d’espionner et d’enregistrer n’importe quelle forme de communication à partir d’un ordinateur cible.»
 
Un marché trop lucratif
Bien sûr, Hacking Team n’est pas la seule compagnie sur le marché de la surveillance gouvernementale. AREA Spa (Italie), Trovicor (Allemagne), FinFisher (Etats-Unis) sont eux aussi spécialisés dans la vente de logiciels d’espionnage. Les «SpyFiles» publiés par WikiLeaks témoignent amplement du choix en matière de surveillance électronique.
 
Même Cisco, une des plus grandes entreprises de télécommunications américaines, s’y est mise avec un client spécial : la Chine. L’Américain a installé une grande partie des infrastructures de la «Grande Muraille d’Internet» chinoise, le projet Golden Shield qui permet au gouvernement chinois de surveiller et censurer la totalité d'internet dans le pays. Montant total de la transaction : plus de 500 millions de dollars.

L'ironie était-elle intentionnelle? Cisco, accusée d'avoir aidé à construire la «Grande Muraille d'Internet» des censeurs chinois, utilise l'image de la Grande Muraille de Chine dans l'une de ses publicités. (Cisco)

Au niveau international, il n’existe pour l’instant aucune manière de faire la différence entre la vente d’un logiciel «défensif» (de protection contre les tentatives de hack) et la vente d’un logiciel «offensif» (destiné à mener des tentatives de hack) à un gouvernement.
 
Pour reprendre les mots du lanceur d’alerte de la NSA Edward Snowden : «Supposez toujours que tout le monde est sous surveillance

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.