Un contrat de location d’ordinateur n’autorise pas le loueur à accéder aux emails privés de son client, à ses informations bancaires, dossiers médicaux ou, pire, à prendre des photos d’eux dans leurs maisons dans l’intimité de leurs logis au moyen de la webcam.

Des chevaux de Troie dans nos démocraties

OWNI lève le voile sur les chevaux de Troie. Ces logiciels d'intrusion vendus aux États, en particulier en France et en ...

Les loueurs utilisaient en effet un logiciel de la société DesignerWare afin de pouvoir géolocaliser leurs ordinateurs, mais également l’éteindre à distance, en cas de vol, ou de défaut de paiement.

Le logiciel espion était également doté d’un “mode détective” pour enregistrer ce qui était tapé sur le clavier, faire des captures d’écran ou activer la webcam afin de photographier ce qu’il y avait devant, le tout, à l’insu de leurs clients.

Au cour de leur investigation, la FTC a découvert que DesignerWare, qui collectait toutes les informations avant de les faire suivre aux loueurs, avait ainsi enregistré les identifiants et mots de passe utilisés pour accéder à des boîtes aux lettres email, réseaux sociaux ou institutions financières, des numéros de sécurité sociale, courriels envoyés à des médecins, mais également photographié des enfants, des “individus partiellement dénudés, et des relations sexuelles“…

L’espion était dans le .doc

Les marchands d'armes de surveillance n'ont vraiment pas de chance : à chaque fois qu'on entend parler d'eux, c'est parce ...

Le logiciel espion permettait également de bloquer l’ordinateur jusqu’à ce que l’utilisateur remplisse un formulaire révélant ses numéros de téléphone, adresses physiques et emails, et censé permettre aux loueurs de récupérer leur argent plus facilement.

La FTC a estimé que l’espionnage et la géolocalisation des utilisateurs, à leur insu, était “déloyale“, et “illégale“, et que le formulaire était “trompeur“. Elle a donc ordonné à DesignerWare et aux sept loueurs d’arrêter d’espionner leurs clients… à leur insu. Il leur suffira donc de préciser dans leurs futurs contrats que les utilisateurs seront susceptibles d’être surveillés pour pouvoir le faire en toute légalité.

Au journal Wired, la FTC a expliqué qu’elle n’avait pas infligé d’amendes, alors que plus de 400 000 locations auraient été concernées, parce qu’elle n’a pas le droit de le faire lorsque de telles infractions sont détectées.

Trojan Horse 2011 cc quantumlars

Colères d’Arabie : le logiciel espion

Cruel paradoxe de ce printemps arabe : les défenseurs des droits de l'homme bahreïnis utilisent les réseaux sociaux ...

Fin juillet, on découvrait que le logiciel espion du marchand d’armes de surveillance numérique britannique FinFisher avait été utilisé à l’encontre de défenseurs des droits humains bahreïnis. En août, on découvre que des journalistes marocains ont, eux, été ciblés par Hacking Team, un concurrent italien de FinFisher.

Mamfakinch (“nous n’abandonnerons pas“, en arabe marocain), est un site d’informations créé par un collectif de blogueurs et militants marocains dans la foulée du printemps arabe, et plus particulièrement du mouvement dit du 20 Février, qui appelait notamment à l’ouverture d’une enquête sur “les arrestations arbitraires et les procès expéditifs », et à la « rupture avec la logique de répression face au droit des manifestations pacifiques“. Devenu, en moins d’un an, l’un des médias citoyens les plus populaires au Maroc, il a plusieurs fois fait l’objet d’attaques ou de tentatives de déstabilisation visant à le faire taire.

Ce 2 juillet 2012, Google et GlobalVoices remettait à Mamfakinch un Breaking Border Awards, prix créé pour honorer les sites qui s’illustrent par leur défense de la liberté d’expression sur Internet. Le 20 juillet, la rédaction de Mamfakinch recevait un email intitulé Dénonciation, accompagné d’une pièce jointe, scandale (2).doc, et d’une phrase sibylline en français :

Svp ne mentionnez pas mon nom ni rien du tout je ne veux pas dembrouilles…

Appâtés, les journalistes tentent d’ouvrir le fichier joint… sans succès. Intrigués, et doutant de la véracité du mail, ils le font suivre à Abderahman Zohry, co-fondateur de Mamfakinch et du Parti pirate marocain, mais également directeur technique de DefensiveLab, une société de sécurité informatique marocaine. Anas El Filali, blogueur et principal actionnaire de Defensive Lab, a raconté à Yabiladi, un site d’information marocain, qu’en analysant le document, les hackers de son entreprise ont découvert un virus qui n’avait encore jamais été identifié :

Ce dernier prend pour cible les machines qui tournent sous MAC OS et Windows, et il était encore indétectable par les antivirus. Un document Word contenait un code exploitant une faille existante dans le composant Flash afin d’installer le cheval de Troie.

Techniquement, une attaque de ce genre peut donner à l’attaquant un accès à toutes les données de l’ordinateur infecté, ainsi que d’enregistrer tout le trafic entrant et sortant (discussions et contacts MSN, Skype, mots de passe, touches tapées et URLs visitées sur le navigateur…).

Des chevaux de Troie dans nos démocraties

OWNI lève le voile sur les chevaux de Troie. Ces logiciels d'intrusion vendus aux États, en particulier en France et en ...

Le 24, Lysa Meyers, une des chercheuses d’Intego, une société de sécurité informatique spécialisée dans l’univers Mac, découvre le cheval de Troie, que DefensiveLab a envoyé à Virus Total, un site qui permet à tout internaute de passer n’importe quel fichier au travers des scanners de 41 éditeurs d’anti-virus, et que Google vient de racheter.

Le 25, Lysa Myers publie un nouveau billet expliquant comment le logiciel malveilant fonctionne, révélant qu’on y trouve des bouts de code évoquant le nom d’un concurrent italien de FinFisher, Hacking Team. Son cheval de Troie, Remote Control System Da Vinci (RCS, pour “système de contrôle à distance“), présenté comme une “suite de hacking pour l’interception gouvernementale“, se targue de pouvoir pirater n’importe quel système informatique, afin de pouvoir surveiller, espionner et récupérer tout type de données sur les ordinateurs infectés.

Des dizaines d’articles ont relayé cet été, dans la foulée, la découverte de ce nouveau cheval de Troie, surnommé Crisis par Intego, Morcut par Sophos, ou encore BackDoor.DaVinci.1 par Dr.Web -qui qualifie Hacking Team de “criminels“. Depuis, les éditeurs d’anti-virus rivalisent de communiqués pour annoncer qu’ils avaient rajouté le cheval de Troie dans la liste des logiciels malveillants, de sorte qu’ils ne puissent plus contaminer les ordinateurs de leurs clients.

Un gros requin de l’intrusion

En partenariat avec WikiLeaks, OWNI révèle le fonctionnement de FinFisher, l'une de ces redoutables armes d'espionnage ...

A ce jour, 26 éditeurs d’antivirus détecteraient le cheval de Troie de Hacking Team, et 36 celui de FinFisher, ce qui n’est pas sans poser quelques problèmes à ces marchands d’armes de surveillance numérique. D’une part parce que l’on en sait un peu plus sur leurs technologies, et donc comment s’en protéger, d’autre part parce qu’ils se targuaient, auprès de leurs clients, d’avoir créé des chevaux de Troie que les antivirus ne détectaient pas.

FinFisher, Hacking Team et leurs quelques concurrents défendent leurs logiciels espions en expliquant qu’ils ne le vendent qu’à des services de renseignement, forces de police et gouvernements, et qu’ils ne seraient donc utilisés que dans le cadre de la lutte contre le terrorisme ou la criminalité. On a désormais la preuve qu’ils servent aussi à espionner des défenseurs des droits humains et journalistes.

Les autorités britanniques, de leur côté, viennent d’annoncer que FinSpy avait été placé dans la liste des “technologies duales” dont l’exportation, hors union européenne, doit être dûment autorisée.

Le blocage des chevaux de Troie par les antivirus, ainsi que la décision britannique de contrôler leur prolifération, constitue un tournant. Et la facture pourrait s’avérer salée : David Vincenzetti, le fondateur de Hacking Team, avait expliqué en novembre 2011 qu’il commercialisait la licence de RCS Da Vinci pour 200 000 euros, par an. D’après Ryan Gallagher, un journaliste de Slate qui l’avait rencontré en octobre 2011, RCS a été vendu depuis 2004 “à approximativement 50 clients dans 30 pays sur les cinq continents“. FinSpy, à en croire cette proposition de contrat trouvée en mars 2011 dans l’un des bâtiments de la sécurité égyptienne après la chute du régime Moubharak, serait vendu, de son côté, près de 300 000 euros.

@angryarabiya a plus de 45 000 followers sur Twitter. C’est l’une des passionnarias de la défense des droits humains à Bahreïn qui, depuis le printemps 2011, fait l’objet d’une vague de protestations populaires ayant causé des dizaines de morts du côté des manifestants, des milliers d’arrestations. En février 2011, elle était menottée et traînée par les mains pour avoir osé manifester seule, sur un rond-point. En novembre, elle bloquait, seule, un convoi de véhicules de police, en refusant de bouger, comme le montrent ces vidéos :

@angryarabiya n’a plus rien tweeté depuis fin juillet : le 2 août, elle a été interpellée parce qu’elle manifestait une fois de plus, seule, sur un rond point, la jambe plâtrée. Fin juin, la police avait en effet tiré une grenade lacrymogène dans sa jambe. Devant son refus de coopérer avec les policiers venus l’embarquer, une policière demanda à son chef ce qu’elle devait faire si la jeune femme refusait de donner un échantillon de son sang : “Plantez l’aiguille dans le cou.”

Accusée d’avoir “détruit des biens gouvernementaux” (lors d’une précédente incarcération, elle avait déchiré, en prison, une photo du roi de Bahreïn), de “participation à un rassemblement illégal“, d’”incitation à la haine contre le régime“, ainsi que d’avoir fait obstacle à la circulation, elle sera jugée en septembre, octobre, et novembre.

Zainab Al-Khawaja devant le Bahreïn Financial Harbor de Manama (21/4/2012). Photo sur Twitter de @Kareemasaeed via Global Voices.

@angryarabiya, Zainab Al-Khawaja de son vrai nom, a 29 ans, et une petite fille de deux ans. Ce qui ne l’avait pas empêché de faire une grève de la faim, l’an passé, pour protester contre l’incarcération de son père, de son mari et de son beau-frère :

Si mon père meurt, je veux mourir aussi. Notre père nous a toujours appris qu’il valait mieux mourir dignement que vivre comme des esclaves.

Zainab a grandi, en exil, dans ce qu’elle qualifie de “famille d’activistes“, et porte une admiration sans borne à son père. Abdulhadi al-Khawaja, recherché par les autorités parce qu’il militait dans un comité de défense des prisonniers politiques à Bahreïn, a vécu à Londres dans les années 80, avant d’obtenir l’asile politique au Danemark, puis la nationalité danoise. Co-fondateur du Centre bahreïni des Droits humains (BHCR), il est retourné vivre dans son pays en 2001, à la faveur d’une loi d’amnistie, et de l’engagement de la monarchie d’autoriser les ONG de défense des droits de l’homme. En 2004, le BHCR était interdit, et il a depuis été de nombreuses fois harcelé, frappé, interdit de voyager, incarcéré et torturé.

En janvier 2009, il avait ainsi osé dénoncer publiquement la corruption du régime, les arrestations arbitraires, le recours régulier à la torture, et appelé à la désobéissance civile non violente, ce qui lui avait valu d’être poursuivi pour “propagande” visant à renverser le régime.

Le site web du BHCR fait partie du millier de sites dont l’accès est censuré par les autorités à BahrBahreïn, qui n’hésitent pas à attaquer journalistes et médias. Le site documente (attention : images choquantes) ainsi les nombreux cas de torture et les blessures imputables aux policiers. Des dizaines d’enfants et adolescents ont été maltraités, et des dizaines de manifestants, dont de nombreux enfants, adolescents et personnes âgées, ont été tués par les policiers qui n’hésitent pas à tirer des grenades lacrymogènes, ou à la chevrotine, dans leurs jambes ou dans leurs têtes.

Manifestation de soutien à Abdulhadi al-Khawaja organisée par Amnesty International au Danemark

Abdulhadi al-Khawaja fait aujourd’hui partie des 13 de Bahreïn, du nom donné aux treize figures de l’opposition, défenseurs des droits de l’homme blogueurs et démocrates incarcérés au printemps 2011. Le 9 avril 2011, il était arrêté chez lui, en pleine nuit, par une vingtaine de policiers cagoulés, frappé jusqu’au sang par cinq d’entre eux, traîné par le cou dans l’escalier et emmené, inconscient, au poste de police, avec ses deux gendres, sans que sa famille n’apprenne ce qui leur était reproché.

Abdulhadi al-Khawaja a été condamné en juin 2011 par la justice militaire bahreïnie à la prison à perpétuité pour avoir “organisé et dirigé une organisation terroriste“, “tenté de renverser le gouvernement par la force et en lien avec une organisation terroriste travaillant pour un pays étranger” et “collecte d’argent destiné à une organisation terroriste“, au terme d’une parodie de procès dénoncée par de nombreuses ONG, les Nations unies, l’Union européenne, la France ou encore les États-Unis. Le 25 mai 2012, il cessait une grève de la faim qui aura duré 110 jours, après avoir enfin été autorisé à venir témoigner, sur un fauteuil roulant, devant la Cour suprême de Bahreïn.

Son témoignage est terrifiant : les coups qui lui ont été portés par les policiers ont entraîné des fractures de la mâchoire et du nez ; opéré dans un hôpital militaire, on lui a placé 18 plaques métalliques et 40 vis pour ressouder les os cassés ; sa convalescence aurait dû durer trois mois, mais après avoir passé 6 jours à l’hôpital, les yeux bandés, menottés à son lit, harcelé la nuit par des hommes le menaçant de viol et lui faisant subir des attouchements sexuels, il fut placé à l’isolement pendant deux mois dans une cellule non éclairée, sans sortir et sans contact avec l’extérieur d’une prison militaire. Toutes les nuits, après minuit, des gardiens masqués entraient dans les cellules, faisant subir des violences physiques, verbales et sexuelles à chacun des détenus, un par un, afin que tous les autres puissent entendre leurs cris.

Un jour, il fut autorisé à se raser et à porter un costume, afin de rencontrer un “représentant personnel” du roi qui lui proposa de “demander pardon au roi pour ce que j’avais fait” devant une caméra de télévision, ce qu’il refusa. Déshabillé de force par ses tortionnaires, qui commençaient à le violer, Abdulhadi al-Khawaja explique que pour que ces violences cessent, “je ne pouvais faire qu’une seule chose” : leur échapper, et se cogner la tête contre le sol jusqu’à perdre conscience, et alors que ses fractures n’avaient pas encore cicatrisé.

Ce 4 septembre 2012, la justice bahreïnie a confirmé les peines de prison infligées aux “13 de Bahreïn“. Sept d’entre eux, dont al-Khawaja, sont condamnés à la prison à vie. A l’annonce du verdict, des affrontements ont opposés manifestants et policiers, les premiers étant dispersés à coups de bombes assourdissantes, grenades lacrymogènes et tirs de chevrotine.

Fond d'écran du profil Twitter de Nabeel Rajab

Assange interroge les révoltes arabes

Julian Assange poursuit sa carrière de journaliste sur la télévision russe RT. Ce nouvel épisode de "The World Tomorrow" ...

Nabeel Rajab (@NabeelRajab, 171 000 abonnés sur Twitter), est le successeur d’Abdulhadi al-Khawaja à la tête du Centre bahreïni des Droits humains. Il a lui aussi été plusieurs fois poursuivi, ou incarcéré, notamment en raison de ce qu’il publiait sur Twitter. En avril 2011, il était ainsi accusé d’avoir “fabriqué” la photographie d’un manifestant mort sous la torture en prison. L’accusation fut finalement abandonnée après l’inculpation des cinq gardiens responsables de sa mort.

En mai 2012, il écrivait, sur Twitter, qu’il allait accorder une interview à Julian Assange. Dans la foulée, sa maison était “encerclée par près de 100 policiers armés avec des mitrailleuses“, comme il l’a expliqué au fondateur de WikiLeaks, apparemment amusé d’avoir ainsi pu berner les autorités, qui n’avaient pas pu l’empêcher d’aller à Londres pour témoigner dans l’émission télévisée d’Assange :

Quand ils ont réalisé que je n’étais pas à la maison, ils ont demandé à ma famille de me dire d’aller au ministère public aujourd’hui à 4h. Mais je suis ici.

C’était la nuit dernière, mais je suis habitué. Je dois y retourner, je dois y faire face. Vous savez ce n’est pas la première fois mais c’est aussi ça la lutte. C’est pour la liberté, c’est pour la démocratie que nous nous battons. Tout ça a un prix et nous devons le payer, et ce prix pourrait être votre vie, mais nous sommes prêts à payer pour les changements que nous revendiquons.

Interrogé sur ses deux enfants, de 9 et 14 ans, Nabeel Rajab explique avoir été contraint de les changer d’école parce qu’ils étaient harcelés par d’autres enfants de membres de la famille au pouvoir, et qu’ils sont à la tête de chaque manifestation, avec lui, parce que leur maison a été aspergée de gaz lacrymogène plus de 20 fois l’an passé, et parce qu’ils ont vu leur père être tiré de son lit et roué de coups en pleine nuit, devant eux.

De retour à Bahreïn, Nabeel Rajab était arrêté dès sa descente d’avion, et incarcéré pendant 2 semaines pour avoir, sur Twitter, accusé le ministre de l’Intérieur de n’avoir pas suffisamment enquêté sur la mort de plusieurs civils.

Le 9 juillet, il était de nouveau arrêté par des hommes masqués et incarcéré à cause d’un tweet qualifié de “diffamatoire” : il avait osé écrire que le premier ministre n’était pas “populaire“, ce qui lu a valu d’être condamné à 3 mois de prison, peine qui a depuis été cassée. Accusé d’avoir participé à trois manifestations non autorisées, il a par ailleurs écopé d’une peine de trois ans d’emprisonnement, et sera jugé en appel le 10 septembre prochain.

Les noms de ces défenseurs des droits de l’homme, et les actes de torture dont ils ont été les victimes, ont été exploités de façon particulièrement cynique dans une tentative d’espionnage d’opposants politiques impliquant un marchand d’armes britannique spécialisé dans les technologies de surveillance numérique (voir Colères d’Arabie : le logiciel espion).

Nabeel Rajab, Abdulhadi et Zainab Al-Khawaja

NB : cet article était initialement intitulé “Colères d’Arabie : la passionaria. Or, et comme nous l’a fait remarquer Meg en commentaire, “cette femme s’élève contre l’injustice, rien à voire avec la passion, qui est une émotion irréfléchie et dévorante“, l’utilisation du terme “passionaria” relevant pour le coup d’un cliché sexiste. Nous avons donc changé le titre.

La galerie est visible ici. Les photos et légendes proviennent du compte twitter d’@angryarabiya sauf mention contraire. Réalisée avec l’aide d’Ophelia Noor.

Arabes en colère

Au printemps dernier, un Bahreïni exilé à Londres, une économiste britannique résidant à Bahreïn et le propriétaire d’une station service en Alabama, naturalisé Américain, recevaient un e-mail émanant apparemment d’une journaliste d’Al-Jazeera.

Il y était question d’un rapport rédigé par Zainab Al-Khawaja, sur les tortures infligées à Nabeel Rajab, deux des défenseurs des droits de l’homme incarcérés (et probablement torturés) à Bahreïn, suivi de cette précision :

“Merci de vérifier le rapport détaillé en pièces jointe, avec des images de torture.“

Quelques jours plus tard, ils recevaient d’autres emails évoquant l’arrestation d’opposants bahreïnis, ou encore l’agenda du roi de Bahreïn, et systématiquement accompagnés de fichiers compressés en pièce jointe, laissant penser qu’il pourrait s’agir de virus informatiques.

Ces e-mails, transmis au journaliste de Bloomberg Vernon Silver (qui a particulièrement suivi l’utilisation de technologies de surveillance occidentales par les dictatures arabes), ont ensuite été analysés par deux chercheurs associés au Citizen Lab, un laboratoire de recherche canadien qui étudie notamment les technologies de surveillance politique.

Morgan Marquis-Boire, un ingénieur en sécurité informatique travaillant chez Google, est un spécialiste (.pdf) des logiciels espions utilisés par les barbouzes libyens et syriens pour pirater les ordinateurs des cyber-dissidents. Bill Marczak, un doctorat en informatique de Berkeley, fait quant à lui partie de Bahrain Watch, qui veut promouvoir la transparence au Bahreïn, et dont le site tient la comptabilité des manifestants et civils tués par les autorités, des armes (chevrotine, grenades et gaz lacrymogènes) achetées à des entreprises occidentales, et des entreprises de relations publiques anglo-saxonnes financées par le régime.

Un gros requin de l’intrusion

En partenariat avec WikiLeaks, OWNI révèle le fonctionnement de FinFisher, l'une de ces redoutables armes d'espionnage ...

En analysant les e-mails envoyés aux défenseurs des droits de l’homme bahreïnis, les deux chercheurs ont découvert un logiciel espion particulièrement perfectionné, utilisant une “myriade de techniques destinées à échapper à toute forme de détection“, notamment par les antivirus, dont le code n’en mentionnait pas moins, et plusieurs fois, le mot FinSpy, la société Gamma International, et le nom de plusieurs de ses responsables.

FinSpy, à en croire cette proposition de contrat trouvée en mars 2011 dans l’un des bâtiments de la sécurité égyptienne après la chute du régime Moubharak, est vendu près de 300 000 euros. C’est l’un des produits phares de la gamme d’outils de “lutte informatique offensive” commercialisés par FinFisher, filiale de la société britannique Gamma, spécialisée dans les systèmes de surveillance et d’interception des télécommunications. Owni avait déjà eu l’occasion de présenter sa gamme de produits, et même de réaliser un montage vidéo à partir des clips promotionnels expliquant le fonctionnement de ses logiciels.

Cliquer ici pour voir la vidéo.

Des chevaux de Troie dans nos démocraties

OWNI lève le voile sur les chevaux de Troie. Ces logiciels d'intrusion vendus aux États, en particulier en France et en ...

A l’occasion de l’opération SpyFiles, WikiLeaks et Privacy International avaient révélé que FinFisher faisait partie des cinq marchands d’armes de surveillance numérique spécialisés dans les chevaux de Troie. Derrière ce nom, des logiciels espions créés pour prendre le contrôle des ordinateurs qu’ils infectent afin d’activer micro et caméra, d’enregistrer toutes les touches tapées sur le clavier (et donc les mots de passe) ou encore les conversations sur Skype, par messagerie instantanée, par e-mail etc. avant de renvoyer, de façon furtive et chiffrée, les données interceptées via des serveurs situés dans plusieurs pays étranger.

Un autre chercheur en sécurité informatique a ainsi réussi à identifier des serveurs utilisés pour contrôler FinSpy, et donc espionner des ordinateurs, en Estonie, Éthiopie, Indonésie, Lettonie, Mongolie, au Qatar, en république tchèque et aux USA, mais également en Australie, ainsi qu’à Dubai, deux des pays placés “sous surveillance” dans le classement des Ennemis d’Internet émis par Reporters sans frontières.

Dans une seconde note, publiée fin août, CitizenLab révèle avoir identifié d’autres serveurs dans 2 des 12 pays considérés comme des “Ennemis d’Internet” par RSF : l’un au Bahreïn, l’autre contrôlé par le ministère des télécommunications du Turkménistan, considéré comme l’un des régimes les plus répressifs au monde.

Les deux chercheurs détaillent par ailleurs le fonctionnement de FinSpy Mobile, qui permet d’infecter les iPhone et autres téléphones portables Android, Symbian, Windows et Blackberry, afin de pouvoir espionner les SMS, emails et télécommunications, exfiltrer les contacts et autres données, géolocaliser le mobile, et même d’activer, à distance, le téléphone à la manière d’un micro espion, sans que l’utilisateur ne s’aperçoive de la manipulation.

A Bloomberg, qui l’interrogeait, Martin J. Muench, 31 ans, le concepteur de FinFisher, a nié avoir vendu son cheval de Troie à Bahreïn, tout en reconnaissant qu’il pourrait s’agir d’une version de démonstration de son logiciel espion qui aurait été volée à Gamma.

Au New York Times, où il démentait toute espèce d’implication, expliquant, tout comme l’avait fait Amesys, que ses produits ne servaient qu’à combattre les criminels, à commencer par les pédophiles :

Les utilisations les plus fréquentes visent les pédophiles, les terroristes, le crime organisé, le kidnapping et le trafic d’être humain.

Dans une déclaration publiée moins d’une heure après la publication de la deuxième note de Citizen Lab, Martin J. Muench envoyait un communiqué mentionné par le New York Times pour expliquer que l’un des serveurs de Gamma aurait été piraté, et que des versions de démonstrations de FinSpy auraient bien été dérobées. Dans la foulée, plusieurs des serveurs utilisés par FinFisher pour permettre aux données siphonnées de remonter jusqu’à leurs donneurs d’ordre ont disparu des réseaux.

Comme notre enquête sur Amesys, le marchand d’armes français qui avait créé un système de surveillance généralisé d’Internet à la demande de Kadhafi (voir Au pays de Candy) l’avait démontré, les logiciels espions et systèmes d’interception et de surveillance des télécommunications ne font pas partie des armes dont l’exportation est juridiquement encadrée (voir Le droit français tordu pour Kadhafi). Aucune loi n’interdit donc à un marchand d’armes occidental de faire commerce avec une dictature ou un pays dont on sait qu’il se servira de ces outils pour espionner opposants politiques et défenseurs des droits humains.

François Hollande recevant le roi Hamed ben Issa al-Khalifa de Bahreïn

Interrogé lors d’un point presse ce 4 septembre, le porte-parole de l’ambassade de France à Bahreïn a expliqué avoir “appris avec déception les décisions de la Cour d’appel du Bahreïn qui confirment les lourdes peines infligées à ces opposants” :

Le cas de Monsieur Khawaja nous préoccupe tout spécialement. Nous espérons vivement qu’un réexamen de ces condamnations aura lieu lors d’un éventuel pourvoi en cassation.

Nous restons préoccupés par la persistance des tensions dans le royaume de Bahreïn et rappelons notre profond attachement aux principes de liberté d’expression et de droit à manifester pacifiquement.

Le 23 juillet dernier, François Hollande recevait très discrètement le roi du Bahreïn, Hamed ben Issa Al Khalifa, à Paris. Etrangement, cette visite officielle ne figurait pas sur l’agenda du président, et n’a été connue que parce qu’une journaliste de l’AFP a tweeté, interloquée, leur poignée de main sur le perron de l’Elysée. Officiellement, côté français, il a été question de la situation en Syrie, et de la menace nucléaire en Iran. Jean-Paul Burdy, maître de conférences à l’Institut d’Etudes Politiques de Grenoble, relève cela dit que l’agence de presse de Bahreïn avance que de nombreux autres sujets ont été abordés, y compris la coopération entre les deux pays en matière de lutte contre “toutes les formes de terrorisme et d’extrémisme“, ainsi que de “l’importance de la promotion de la démocratie et des droits humains“.

Au lendemain de cette visite, la presse bahreïnie salue en “une” l’accord de coopération signé entre la France et le Bahreïn, et visant à mettre en place, souligne Le Monde, des réformes dans les secteurs de la presse et de la justice, ce qui fait bondir l’opposition :

La France prend le risque de devenir la complice des tours de passe-passe de la monarchie, s’indigne Abdel Nabi Al-Ekry, un vieil opposant de gauche. Comment peut-elle prétendre réformer la justice bahreïnie alors que 21 des dirigeants de l’opposition croupissent en prison, au terme de procès bidons ? C’est décevant de la part d’un socialiste comme Hollande.

Au pays de Candy

Candy : c'est le nom de code de l'opération organisée depuis la France et consistant à aider le régime de Kadhafi à ...

L’agenda de l’Élysée, dépiauté par Rue89, révèle qu’”au moins six autres représentants de pays autoritaires ou franchement dictatoriaux ont été reçus par François Hollande depuis son élection“, alors même que François Hollande avait pourtant promis de “ne pas inviter de dictateurs à Paris“. Cinq d’entre eux sont soupçonnés d’avoir voulu acheter le système Eagle de surveillance généralisé de l’Internet conçu par la société française Amesys à la demande de Kadhafi, et dont le nom de code, en interne, était Candy, comme bonbon, en anglais.

À la manière d’un mauvais polar, les autres contrats négociés par Amesys portent en effet tous un nom de code inspiré de célèbres marques de friandises, bonbons, chocolats, crèmes glacées ou sodas : “Finger” pour le Qatar (sa capitale s’appelle… Doha), “Pop Corn” pour le Maroc, “Kinder” en Arabie Saoudite, “Oasis” à Dubai, “Crocodile” au Gabon, et “Miko” au Kazakhstan, dont le dictateur-président est le seul à ne pas avoir encore été reçu par François Hollande, quand bien même il utiliserait par contre le système FinSpy de FinFisher.

Depuis le classement sans suite de la plainte déposée à l’encontre d’Amesys, à la veille de la présidentielle, le nouveau gouvernement ne s’est jamais prononcé sur cette affaire, par plus que sur l’implication de Claude Guéant, Brice Hortefeux et des services secrets français, non plus que sur une éventuelle interdiction, à l’exportation, de la commercialisation des armes de surveillance numérique.

Petit manuel de contre-espionnage informatique

GPS, téléphones portables, logiciels espions: les outils de la surveillance se démocratisent. Conseils utiles pour s'en ...

Pour se prémunir de ce genre de chevaux de Troie, Citizen Lab rappelle tout d’abord que ces logiciels espions ne peuvent être installés que si le pirate a un accès physique à la machine (ordinateur ou téléphone portable), ou si la victime accepte d’ouvrir une pièce jointe ou une application que les espions prennent cela dit généralement soin de maquiller de sorte qu’elle émane d’une personne ou institution de confiance. Les chercheurs recommandent également de régulièrement mettre à jour systèmes d’exploitation et logiciels -à commencer par l’anti-virus, les suites Office, Acrobat, Java, Flash, en vérifiant que les mises à jour proviennent de sources légitimes et de confiance-, mais également d’installer des fonds d’écran protégés par mot de passe (pour éviter à un intrus de profiter d’une pause pipi pour pirater votre système), et enfin d’utiliser si possible des mots de passe forts, et des logiciels de chiffrement. Voir aussi, à ce titre, notre petit manuel de contre-espionnage informatique.

OWNI Editions publie aujourd’hui Au pays de Candy, enquête sur les marchands d’armes de surveillance numérique. Un document consacré en particulier au système Eagle, conçu par une entreprise française, Amesys, à la demande du régime libyen de Mouammar Kadhafi.

“Au pays de Candy” (118 pages, 4,49 euros) est disponible au format “epub” sur Immatériel, la FNAC (Kobo) et l’IbookStore d’Apple, Amazon (Kindle), ainsi que sur OWNI Shop (au format .pdf, sans marqueur ni DRM).

Internet massivement surveillé

En partenariat avec WikiLeaks, OWNI révèle l'existence d'un nouveau marché des interceptions massives, permettant ...

De nos jours, Amesys affirme que ce “produit” a été conçu pour “chasser le pédophile, le terroriste, le narcotrafiquant“. Même si, chez son “client“, l’interlocuteur qui a commadé ce “produit” et qui donnait des ordres aux employés d’Amesys envoyés à Tripoli pour former les espions libyens, était recherché par Interpol, pour “terrorisme (et) crime contre l’humanité“. Abdallah Senoussi avait été condamné par la justice française à la prison à perpétuité pour son implication dans l’attentat du DC-10 de l’UTA (170 morts, dont 54 Français). Il est aujourd’hui emprisonné en Libye vient d’être interpellé en Mauritanie.

Ironie de l’histoire, l’autre chef des services de renseignement libyens, Moussa Koussa, avait quant à lui fait défection, pour se réfugier au Royaume-Uni grâce à un ancien terroriste proche d’Al Qaeda que Senoussi avait espionné grâce au système Eagle… Son nom figure dans la liste des personnalités de l’opposition qu’OWNI avait retrouvé dans le mode d’emploi d’Eagle.

Signe du sentiment d’impunité qui prévalait alors chez Amesys, l’auteur de ce mode d’emploi avait également partagé, sur Vimeo, un clip vidéo montrant l’un des centres d’interception installés par les Français à Tripoli, et où se trouvait l’un des bureaux de Senoussi…

Il est impossible, et impensable, qu’Amesys ait conçu un tel “produit” sans l’aval des autorités françaises, ce que démontrent la vingtaine de documents, dont la plupart sont inédits, révélant dans quelles conditions Nicolas Sarkozy et Mouammar Kadhafi ont décidé de nouer des partenariats sécuritaires.

On y voit aussi Ziad Takieddine préparer en détail les visites (qualifiées de “secrètes“) de Claude Guéant et Brice Hortefeux à Tripoli. On y lit des documents (estampillés “confidentiels“) expliquant ce que désiraient exactement les Libyens, et comment Amesys en a aussi profité pour chercher à vendre à Senoussi des téléphones espion, mais également un système d’écoute et de géolocalisation des téléphones mobiles et ce, contrairement à ce qu’ils avaient affirmé…

On y découvre également que le concepteur du système Eagle est un ancien policier, issu d’un “laboratoire secret de la police française” où étaient élaborées les technologies dernier cri et qu’il avait quitté pour créer un système de surveillance de l’Internet, sur une petite échelle. À la demande de Senoussi, il l’a élargi pour être en mesure de surveiller l’Internet à l’échelle d’un pays.

Autre ironie de l’histoire, du temps où il était encore dans la police, à la fin des années 1990, celui qui allait devenir l’inventeur d’Eagle était également le vice-président de French data network (FDN), un fournisseur d’accès à Internet associatif qui s’était illustré, lors du printemps arabe, en aidant les Égyptiens à se reconnecter au Net après que les services de Moubarrak ait décidé de le censurer.

La Libye fut le tout premier pays où un journaliste et blogueur fut assassiné en raison de ses écrits. C’était en 2005, l’année où Ziad Takieddine commença à s’approcher de Kadhafi. Le nom de code de ce projet qui a depuis permis à la dictature libyenne d’incarcérer, et torturer, plusieurs autres intellectuels et internautes ? Candy… comme bonbon, en anglais.

À la manière d’un mauvais polar, les autres contrats négociés par Amesys portent tous un nom de code inspiré de célèbres marques de friandises : “Finger” pour le Qatar (sa capitale s’appelle… Doha), “Pop Corn” pour le Maroc, “Miko” au Kazakhstan, “Kinder” en Arabie Saoudite, “Oasis” à Dubai, “Crocodile” au Gabon. Amesys baptisait ses systèmes de surveillance massif de l’Internet de marques de bonbons, chocolats, crèmes glacées ou sodas…

L’affaire se déguste dans Au pays de Candy, enquête sur les marchands d’armes de surveillance numérique, disponible dans toutes les bonnes librairies numériques :

Le Groupe Bull, fleuron de l’informatique française, vient d’annoncer, dans un communiqué, avoir “signé un accord d’exclusivité pour négocier la cession des activités de sa filiale Amesys relatives au logiciel Eagle“.

Contrairement à ce qu’affirme la dépêche AFP, le groupe Bull ne se sépare pas d’Amesys, qu’il avait racheté en 2009, mais uniquement du système Eagle de surveillance de l’Internet, soit quelques dizaines de salariés tout au plus, sur les 900 collaborateurs de l’entreprise.

Ce système, présenté par Bull comme étant “destiné à construire des bases de données dans le cadre d’interception légale sur internet“, avait fait scandale l’an passé lorsqu’on découvrit qu’il avait été utilisé par la Libye de Kadhafi.

Réfugiés sur écoute

Pendant plusieurs années, la société française Amesys a permis à la dictature du colonel Kadhafi d'espionner les ...

Pour être tout à fait précis, il avait en fait été conçu en 2007 par la société française Amesys à la demande d’Abdallah Senoussi, le chef des services secrets de Kadhafi, grâce à l’entremise de l’intermédiaire Ziad Takieddine, et alors que Nicolas Sarkozy et Claude Guéant cherchaient à normaliser leurs rapports avec la Libye.

Senoussi avait pourtant été condamné en 1999 par la justice française à la prison à perpétuité pour sa responsabilité dans l’attentat du DC-10 de l’UTA, qui avait coûté la vie à 170 personnes, et recherché par Interpol pour “terrorisme (et) crime contre l’humanité“.

L’enquête d’OWNI avait par ailleurs démontré que le système avait servi à espionner des figures historiques de l’opposition libyenne, dont les nouveaux ministres de la culture libyen, ainsi que l’ambassadeur de la Libye à Londres, un avocat britannique et des fonctionnaires américains.

Ces révélations avaient constitué l’une des preuves utilisées par WikiLeaks pour démontrer la dangerosité des marchands d’armes de surveillance à l’occasion du lancement des SpyFiles, opération visant à mettre à jour, et en ligne, les documents internes décrivant les fonctionnalités de ces systèmes et logiciels d’espionnage des télécommunications.

Le Wall Street Journal, qui avait visité, l’été dernier, l’un des centres de surveillance de l’Internet installé par Amesys à Tripoli, avait depuis révélé que le système Eagle avait aussi servi à espionner un journaliste d’Al Jazeera.

Un pacte “avec le diable”

Mode d’emploi du Big Brother libyen

La société française Amesys, qui a vendu des technologies de surveillance à la Libye de Kadhafi, essaie de minimiser les ...

Dans un documentaire intitulé “Traqués ! Enquête sur les marchands d’armes numériques“, qui sera diffusé mercredi 14 mars sur Canal+, le journaliste Paul Moreira (voir son interview sur LeMonde.fr) a par ailleurs rencontré trois blogueurs incarcérés plusieurs mois durant à cause de mails échangés sur Internet. Ils ne pouvaient nier : leurs tortionnaires avaient les preuves écrites, interceptées grâce à Eagle.

Bruno Samtmann, le directeur commercial d’Amesys qui avait expliqué, sur France 2 que le “produit” avait été “imaginé pour chasser le pédophile, le terroriste, le narcotrafiquant“, et qu’il avait donc été “détourné” de sa finalité, a reconnu devant Paul Moreira que ce contrat avait effectivement été “signé avec le diable“, tout en précisant : “mais ce n’est pas moi qui l’ait signé“…

Philippe Vannier, le fondateur d’Amesys, qui avait négocié le contrat avec les services de Kadhafi, grâce à l’intermédiaire Ziad Takieddine, ne s’est jamais exprimé à ce sujet. Pour racheter Amesys, en 2009, Bull lui avait cédé 20% de ses actions, permettant à Vannier de devenir le PDG de Bull.

Le groupe a connu une perte nette de 16,5 millions d’euros en 2011, “conséquence de dépréciations de survaleurs sur la filiale Amesys et du ralentissement de la croissance dans les activités de défense“. Interrogé par Les Echos, Philippe Vannier a déclaré la semaine passée que les activités liées à Eagle “pèsent moins de 0,5% du chiffre d’affaires du groupe, elles ne sont pas stratégiques ou significatives pour nous“.

Le droit français tordu pour Kadhafi

La société française Amesys aurait vendu en toute légalité à Kadhafi des systèmes d'espionnage d'Internet, lui ...

Le Fonds stratégique d’investissement (FSI) avait de son côté acquis 5% du capital de Bull juste avant que le scandale n’éclate et n’entache la réputation d’Amesys, qui emploie 800 salariés, dont quelques dizaines seulement étaient impliqués dans Eagle. Directrice de la communication de Bull, Tiphaine Hecketsweiler est par ailleurs la fille de Gérard Longuet, ministre de la Défense qui avait décoré Philippe Vannier de la légion d’honneur en juillet 2011, et qui a depuis pris la défense d’Amesys à l’Assemblée, plutôt que d’accepter d’ouvrir une commission d’enquête parlementaire, comme le réclamaient plusieurs députés, et alors qu’une plainte était instruite contre Amesys à ce sujet.

OWNI Editions publiera très prochainement un livre à ce sujet. En prévision, nous vous offrons d’ores et déjà cette petite vidéo, réalisée en février 2010 par l’un des salariés d’Amesys, qui montre le centre d’interception des télécommunications et de surveillance de l’internet qu’ils avaient installé à Tripoli (le bâtiment derrière la camionnette rouge), et qu’il avait publiée sur Vimeo. Suite au scandale des Spyfiles, il l’en avait retirée. Il eut été dommage de ne pas vous en faire profiter :

En août dernier, le Wall Street Journal visitait un centre d’interception des télécommunications à Tripoli et confirmait, photo du logo d’Amesys à l’appui, que cette société française avait bien fourni à la Libye son système Eagle de surveillance massive de l’Internet. Parmi les personnes espionnées par les “grandes oreilles” pro-Kadhafi figurait Khaled Mehiri, un journaliste libyen de 38 ans qui avait eu le courage de rester en Libye, malgré le harcèlement judiciaire dont il faisait l’objet, comme le révèle aujourd’hui le WSJ.

Mehiri, originaire de Benghazi, avait profité de la libéralisation de l’accès à l’Internet en Libye, en 2004, pour publier ses articles sur différents sites d’information, y compris d’opposition. En 2007, il commençait à travailler pour celui d’Al Jazeera. Ses articles, critiquant le régime de Kadhafi, lui valurent plusieurs procès de la part de proches des services de renseignement, puis d’être condamné, en 2009, pour avoir travaillé avec un média étranger sans y avoir été autorisé. Il venait en effet d’accorder une interview à Al Jazeera où il accusait Abdallah Senoussi, l’un des deux principaux responsables des services de renseignement libyens, d’avoir été présent le jour où 1 200 prisonniers furent massacrés, en juin 1996, dans la prison d’Abu Salim, près de Tripoli.

Je voulais être un journaliste professionnel et libre dans mon pays. Pour cette raison, j’ai décidé de ne pas partir et de continuer mon travail, quelles que soient les circonstances, ou les menaces dont je pourrais faire l’objet.

Accentuant leurs pressions et harcèlements, les services de renseignement accusèrent Mehiri d’espionnage et d’atteintes à la sécurité nationale, ce qui lui valu quelques interrogatoires supplémentaires. Le 16 janvier 2011, deux jours seulement après la fuite du dictateur tunisien Ben Ali, et donc le début du “printemps arabe“, Mehiri était convoqué par Abdallah Senoussi, quelques jours après qu’un cousin de Kadhafi lui ait confirmé que le régime avait accès à ses e-mails : “il a même été jusqu’à préciser la couleur utilisée par mes éditeurs quand ils modifient des passages de mes articles“.

Pour se rendre à la convocation, Mehiri décide de porter un jean, des chaussures de tennis et une vieille veste, un signe d’irrespect dans la culture libyenne, mais destiné à faire comprendre à Senoussi qu’il n’avait pas peur de lui. Leur rencontre dura quatre heures, durant lesquelles le responsable des services de renseignement lui fit comprendre que la Libye avait effectivement besoin d’être réformée, mais qu’il serait préférable qu’il cesse de donner la parole à des opposants, d’autant qu’il pourrait être arrêté, à tout moment, par les autorités. En discutant avec lui, Mehiri s’aperçut qu’il savait tout de lui.

Terroriser un peuple

De fait, son dossier, auquel le WSJ a eu accès, montre qu’il était espionné depuis le mois d’août 2010, au moyen du logiciel Eagle d’Amesys. Les journalistes ont en effet trouvé des dizaines d’e-mails et conversations privées qu’il avait tenues sur Facebook, que les services de renseignement libyens avaient imprimé et qui portaient, en en-tête, “https://eagle/interceptions”. Avant même que ses articles ne soient commandés, ou qu’il ne commence à enquêter, les “grandes oreilles” libyennes connaissaient les sujets qu’il proposait aux rédactions avec lesquelles il travaillait.

La majeure partie des e-mails interceptés avaient été échangés avec d’autres journalistes, dont ceux d’Al Jazeera. On y découvre que Mehiri enquêtait sur des affaires de corruption, sur l’argent que la Libye était prête à rembourser aux victimes de l’IRA – que Kadhafi avait soutenu -, ou que son pays refusait de verser aux victimes du massacre de 1996… Dans un autre des e-mails, il discutait des menaces proférées à son encontre ainsi qu’à celui d’un autre journaliste libyen, auprès d’un chercheur d’Human Rights Watch :

Merci de ne pas révéler mon identité, ce qui pourrait me mettre en danger.

Le 25 février, alors que la Libye avait commencé à se libérer, un autre e-mail était intercepté. Envoyé par un professeur de droit libyenne à Mehiri ainsi qu’à des employés du département d’Etat américain, et des Nations Unies, il proposait à Google de couvrir en temps réel, sur Google Earth, le suivi des évènements en Libye, afin d’aider les rebelles à savoir où se trouvaient les soldats fidèles au régime, de sorte de pouvoir soit les éviter, soit aller les combattre, et donc d’”achever la libération” de la Libye.

Mehiri, lui, ne lisait plus ses e-mails. Ayant couvert les premières manifestation à Benghazi, le 15 février, il avait préféré entrer en clandestinité, afin de protéger sa femme et son jeune fils, persuadé que le régime chercherait à lui faire payer tout ce qu’il avait écrit. Et ce n’est qu’en septembre dernier, après la libération de Tripoli, que Mehiri a refait surface. De retour à Benghazi, il a recommencé, depuis, à écrire pour Al Jazeera.

Pour lui, la décision d’Amesys de vendre à la Libye un système d’espionnage de l’Internet, en dépit du caractère répressif du régime de Kadhafi, est “un acte de lâcheté et une violation flagrante des droits de l’homme“. Paraphrasant Mac Luhan, Mehiri a précisé au WSJ que le médium est le message, et que “la surveillance, en tant que telle, suffit à terroriser un peuple” :

Pour moi, ils sont donc directement impliqués dans les persécutions du régime criminel de Kadhafi.

Une nouvelle “touche” pour Amesys

Dans le contrat proposé à la Libye, Amesys avait fait figurer une mention stipulant que deux ingénieurs français seraient envoyés à Tripoli pour “aider le client de quelque manière que ce soit“. Sur le mur du centre d’interception des télécommunications que le Wall Street Journal avait pu visiter, une affiche mentionnait le n° de téléphone et l’adresse e-mail d’un employé d’Amesys, Renaud R., susceptible de répondre à toute question technique et qui, contacté depuis par le WSJ, a refusé de répondre à ses questions.

Le 31 août dernier, suite aux révélations du WSJ, Renaud R. écrivait, sous le pseudonyme Skorn qu’il utilise pour chatter avec ses amis, que “Khadafi est sans doute un des clients les plus exigeants et intransigeant de ce monde. Ce qui prouve que notre système marche(ait) plutot bien quand même !“.

Interrogé sur le fait que cela portait un coup, en terme d’image, à son entreprise, Skorn répondait laconiquement que “le grand public n’est jamais notre client“, tout en précisant :

par contre, ça nous a déjà généré une touche commerciale pour un pays qu’on ne connaissait pas ! ;-)

Ces dernières années, un quarteron d’entreprises privées a développé des logiciels espions visant à déjouer tous les mécanismes de sécurité ou de chiffrement des communications utilisés par ceux qui cherchent à protéger leurs données, et leur vie privée. Ces logiciels, ce sont des chevaux de Troie. OWNI, en partenariat avec WikiLeaks dans le cadre de la publication des SpyFiles, s’est penché sur les documents se rapportant à ces technologies très particulières.

Comme dans la mythologie, un cheval de Troie se fait passer pour ce qu’il n’est pas, permet de prendre le contrôle total de l’ordinateur qu’il infecte, à distance, de sorte de pouvoir y lire les données avant même qu’elles ne soient chiffrées et donc sécurisées, ou encore de pouvoir y activer le micro, ou bien la caméra, et cætera.

Les hackers allemands du Chaos Computer Club ont ainsi récemment révélé comment la police allemande utilisait, en toute illégalité selon eux, un tel virus informatique pour espionner les ordinateurs de criminels supposés.

Mouchards

La police suisse a reconnu utiliser elle aussi le même cheval de Troie. Début novembre, la France publiait de son côté, au Journal Officiel, la liste des services, unités et organismes habilités à installer de tels logiciels espions permettant, à distance, la “captation des données informatiques“, terme officiel pour qualifier l’utilisation de mouchards informatiques.

Les documents internes de la société FinFisher démontrent ainsi toute l’étendue du savoir-faire de ces pirates informatiques au service, officiellement, des seuls forces de l’ordre et des services de renseignements. Dans le cadre de l’opération SpyFiles menée avec WikiLeaks, nous avons pu recueillir plusieurs vidéos d’entreprise de cette société, réalisées à des fins commerciales, pour convaincre leurs clients – essentiellement des États – de la simplicité de leurs outils d’espionnage. En voici un montage (la musique et les explications sont d’origine), révélateur du fonctionnement de ces chevaux de Troie :

Cliquer ici pour voir la vidéo.

Chiffrés

Un reportage diffusé dans le magazine Zapp de la chaîne de télévision allemande ARD [en] montre qu’ils ont aussi servi à espionner des défenseurs des droits de l’homme en Egypte. Pire : on y découvre que si le discours officiel des autorités allemandes est de soutenir les défenseurs des libertés de ce “printemps arabe“, dans les faits, elles soutiennent également, et activement, l’exportation de ces armes de surveillance, même et y compris à des dictateurs ou des régimes totalitaires où elles sont utilisées pour réprimer la population, au motif qu’il s’agirait d’un “marché du futur“.

Ces comportements, favorisant le développement de telles technologies intrusives, s’expliquent par l’évolution de nos relations aux télécommunications. Car, signe des temps, si la majeure partie des conversations téléphoniques et des données échangées sur le Net circulent en clair, une partie de plus en plus importante de ces flux d’information sont désormais chiffrés.

En 1991, Philip Zimmermann, un développeur américain, met en ligne Pretty Good Privacy (PGP), le premier logiciel de cryptographie grand public permettant à ses utilisateurs de pouvoir échanger des emails ou documents chiffrés, et donc sécurisés au sens où, même interceptés, ils ne peuvent pas être déchiffrés.

Jusqu’alors, ce genre de systèmes n’était utilisé que par les services de renseignements, les militaires, ambassades, gouvernements et, bien entendu, les espions. Mais dans la mesure où les données circulant sur le Net sont à peu près aussi protégées que le sont les cartes postales, Zimmermann estima que les internautes devaient pouvoir fermer l’enveloppe, et donc communiquer en toute confidentialité.

Dans les faits, la robustesse de PGP s’apparenterait plutôt à celle d’un coffre-fort. Pour communiquer, leurs utilisateurs doivent installer le logiciel, et créer une “clef publique“, sorte de coffre-fort ouvert et mis à disposition des autres utilisateurs, et une “clef privée“, qui permet d’ouvrir le coffre-fort une fois celui-ci fermé. Si quelqu’un veut communiquer avec moi, il place le message dans mon coffre-fort public, claque la porte, que je serai le seul à pouvoir ouvrir en utilisant ma clef privée.

La mise en ligne de PGP visait à améliorer la protection des droits de l’homme et la défense de la vie privée, comme il l’expliqua brillamment dans un texte placé sous l’égide du Mahatma Gandhi. Dans les faits, elle lui valut aussi d’être poursuivi, pendant trois ans, par les autorités américaines, qui voyaient d’un très mauvais œil ce qu’elles qualifièrent alors d’“exportation illégale de matériel de guerre”.

Dans un grand nombre de pays, la cryptographie relève en effet de cette catégorie de matériels sensibles que l’on ne peut pas exporter sans l’aval des autorités. A l’époque, Zimmermann bénéficia du soutien d’internautes du monde entier, et les autorités américaines abandonnèrent leurs poursuites. Son logiciel était accessible, et utilisé, dans le monde entier.

Dans le même temps, l’essor du commerce électronique rendait obligatoire la libéralisation de la cryptographie : le seul moyen de sécuriser les transactions est en effet de faire de sorte que l’on puisse envoyer son n° de carte bancaire sur le Net sans risque de le voir intercepté. Et c’est précisément pour cette raison que la France, qui la classait jusqu’alors comme relevant du matériel de guerre, libéralisa finalement la cryptographie à la fin des années 90.

Vie privée

Depuis, un nombre croissant de sites, non seulement de commerce électronique, mais également de réseaux sociaux, fournisseurs de mails, etc., sont accessibles en https (“s” pour “sécurisé“), rendant inopérante les écoutes classiques. L’EFF, pionnière des organisations de défense des droits de l’homme et de la vie privée sur le Net, a ainsi développé un plugin pour Firefox, HTTPS everywhere, afin de généraliser, autant que faire se peut, l’utilisation du https.

Skype et BlackBerry, utilisés par des centaines millions de personnes pour se téléphoner, ou échanger des données, dans le monde entier, sont eux aussi un cauchemar pour les espions aux “grandes oreilles“, dans la mesure où, même interceptées, les communications, chiffrées, sont a priori indéchiffrables.

GnuPG, le logiciel de protection de la vie privée qui permet de chiffrer, sécuriser et authentifier données et e-mails, et qui a supplanté PGP, est de son côté utilisé par la quasi-totalité des développeurs de logiciels libres. Et, au vu de la montée en puissance des technologies de surveillance, nombreux sont désormais les internautes à utiliser des coffre-forts électroniques, tel TrueCrypt, pour sécuriser leurs données et éviter qu’elles ne puissent tomber dans de mauvaises mains.

Afin de répondre aux risques d’espionnage informatique, ou de pertes de données confidentielles, les autorités elle-mêmes encouragent les entreprises à apprendre à leurs salariés comment s’initier à la sécurité informatique, et sécuriser leurs communications (voir, à ce titre, mon Petit manuel de contre-espionnage informatique).

C’est cette évolution des pratiques numériques qui a favorisé l’émergence de systèmes de surveillance et d’intrusion de plus en plus sophistiqués, qui répondent de nos jours à la demande de tous les États. La question reste de savoir qui encadrera l’exportation de ces armes de surveillance de sorte que nos démocraties cessent de porter aide et assistance aux dictateurs…

Retrouvez notre dossier sur le sujet :
Un gros requin de l’instruction et Une journée sous surveillance

Tous les articles OWNI/WikiLeaks sont là

Simple comme une clef USB

Le logo de FinFisher ? Un aileron de requin (fin, en anglais). Leader des “techniques offensives de recueil d’information“, FinFisher, qui affirme ne travailler qu’avec des services de renseignement et forces de l’ordre, affiche clairement la couleur. Son portefeuille de produits propose une gamme complète d’outils d’espionnage informatique et de “solutions d’écoute, de contrôle et d‘infection à distance” des ordinateurs à même de “prendre le contrôle (et) d‘infecter à distance les systèmes cibles“, afin de pouvoir espionner les messages reçus ou envoyés, d’accéder à toutes ses données, même et y compris si elles sont chiffrées.

Son portfolio de présentation présente toute la gamme de solutions, qui n’ont rien à envier aux outils utilisés par les pirates informatiques, mais qui donnent la mesure de ce qu’il est possible de faire aujourd’hui. Dans une autre présentation de ses activités, datant de 2007, FinFisher se vantait ainsi d’”utiliser et incorporer les techniques de hacking black hat (du nom donné aux hackers qui oeuvrent du côté obscur de la force, et en toute illégalité, NDLR) afin de permettre aux services de renseignement d’acquérir des informations qu’il serait très difficile d’obtenir légalement.”

Vous avez la possibilité d’accéder physiquement à l’ordinateur de votre cible ? Insérez-y FinUSB, une petite clef USB créée tout spécialement pour extraire d’un ordinateur l’intégralité des identifiants et mots de passe qui s’y trouvent, les derniers fichiers ouverts ou modifiés, l’historique des sites visités, des communications instantanées, le contenu de la poubelle, etc., sans même que son propriétaire ne s’en aperçoive : il suffit en effet d’insérer la clef USB dans l’ordinateur, au prétexte de partager avec lui tel ou tel fichier, pour que le logiciel espion siphonne, de façon subreptice et sans se faire remarquer, l’intégralité des données.

La technique est aussi utilisée par des espions qui, dans des salons professionnels, ou dans les bureaux de ceux qu’ils veulent espionner, laissent traîner une clef USB, espérant que leur cible, curieuse, cherche à la lire… et donc infecte son ordinateur.

Vous n’avez pas d’accès physique à l’ordinateur à espionner ? Pas de problème : “pensé et créé par des spécialistes travaillant depuis plus de 10 ans dans le domaine de l’intrusion” pour casser les mécanismes utilisés pour sécuriser les réseaux sans-fil de type Wi-Fi (WEP ou WPA1 & 2), FinIntrusion Kit, permet de “surveiller à distance webmail (Gmail, Yahoo…) et réseaux sociaux (Facebook, MySpace)” utilisés pas la cible à espionner, ses blogs, forums, etc., et de récupérer ses identifiants et mots de passe, même et y compris si la cible utilise le protocole SSL, protocole de sécurisation des échanges sur Internet.

“Cheval de Troie professionnel” (sic) utilisé, “depuis des années“, pour faciliter le placement sous surveillance des cibles qui se déplacent régulièrement, chiffrent leurs communications ou se connectent de façon anonyme, “et qui résident dans des pays étrangers” (c’est FinFisher qui souligne), FinSpy vise de son côté à prendre le contrôle, à distance et de façon furtive, de tout ordinateur utilisant “les principaux systèmes d’exploitation Windows, Mac et Linux“, et sans qu’aucun des 40 antivirus les plus utilisés ne soit capable de le reconnaitre, et donc de le bloquer.

Une fois installé, FinSpy peut espionner en “live” le ou les utilisateurs de l’ordinateur infecté (en activant, à leur insu, webcam et microphone), mais également le géolocaliser, en extraire toutes les données, intercepter les échanges de mail et autres conversations, et notamment les appels et transferts de fichiers effectués avec Skype (dont l’algorithme de chiffrement, propriétaire mais créé par des développeurs estoniens qui ont connu la Russie soviétique, a été conçu pour sécuriser les communications). Pour plus de furtivité, la connexion, à distance, passe par des proxies anonymiseurs empêchant de remonter jusqu’aux ordinateurs des espions.

FinSpy existe aussi en version mobile, afin d’aider les autorités “qui ne disposent pas de système d’interception téléphonique” à espionner les communications (voix, SMS, MMS, mails) émanant de téléphones portables (BlackBerry, iPhone, Windows ou Android), même et y compris si elles sont chiffrées, et d’accéder aux données (contacts, agendas, photos, fichiers) qui y sont stockées, ou encore de les géolocaliser en temps réel.

Contaminé en consultant un site

FinFly a de son côté été conçu pour installer, de façon subreptice, un cheval de Troie permettant le contrôle à distance de l’ordinateur de ces suspects qui ne cliquent pas sur les pièces jointes qui leur sont envoyées, et savent peu ou prou comment protéger leurs ordinateurs :

Il est quasi-impossible d’infecter les ordinateurs des cibles particulièrement au fait des questions de sécurité informatique, dont le système d’exploitation est régulièrement mis à jour et qui ne comporte donc pas de faille de sécurité facilement exploitable.

FinFlyUSB permet ainsi d’infecter un ordinateur par le simple fait d’y connecter une clef USB. FinFly LAN (pour Local Area Network, ou réseau local) propose de faire de même, mais sans accès physique aux ordinateurs à espionner, en s’infiltrant dans un réseau (câble ou Wi-Fi, et notamment dans ceux des cybercafés ou des hôtels). FinFly ISP (pour Internet Service Provider, ou fournisseur d’accès internet, FAI en français) procède de manière encore plus massive, mais en s’infiltrant au sein même des FAI, afin de pouvoir déployer leurs logiciels espions “à l’échelle d’une nation“.

Dans les deux cas, l’objectif est d’infecter, “à la volée“, les fichiers que des cibles seraient en train de télécharger, d’envoyer de fausses mises à jour de sécurité vérolées, ou encore de “manipuler” les pages web visitées pour y insérer le cheval de Troie, de sorte que la simple consultation d’une page web entraîne la contamination des ordinateurs de ceux qui la visite.

Pour cela, FinFisher a développé FinFly Web, qui permet de créer des pages web piégées dont la simple consultation entraîne l’infection des ordinateurs qui les consultent, et sans qu’ils ne s’en aperçoivent. FinFisher explique ainsi comment des “cibles” ont été espionnées en visitant un sites web créé tout spécialement pour attirer leur attention.

Le portfolio explique également qu’il est possible de faire croire à l’utilisateur à espionner qu’il doit télécharger un fichier (plug-in Flash ou RealPlayer, applet Java, etc.) dûment signé par une société bien connue du marché, “par exemple Microsoft“, laissant entendre, soit que ces compagnies collaborent avec FinFicher, soit qu’il a réussi à pirater leurs certificats de sécurité censés pourtant précisément garantir l’authenticité des fichiers téléchargés…

FinFireWire permet, de son côté, d’accéder au contenu des ordinateurs (Windows, Mac et Linux) dont l’accès est protégé par un mot de passe, sans y laisser de trace. Le portfolio de FinFisher précise même qu’il permet également d’espionner sans contrôle judiciaire, évoquant le cas de policiers entrés dans l’appartement d’un suspect dont l’ordinateur, allumé, est protégé par un mot de passe :

Dans la mesure où ils ne sont pas autorisés, pour des raisons légales, à installer un cheval de Troie dans l’ordinateur (du suspect), ils risquent de perdre toutes les données en éteignant l’ordinateur, si son disque dur est intégralement chiffré. FinFireWire leur a permis de débloquer l’ordinateur du suspect et de copier tous ses fichiers avant de l’éteindre et de le ramener au quartier général.

La “cyberguerre” à portée de clic

FinFisher propose également du “FinTraining” afin d’apprendre à ses clients à, “par exemple” : tracer des emails anonymes, accéder à distance à des comptes webmails, s’initier à l’intrusion sans-fil, “attaquer les infrastructures critiques“, sniffer les identifiants, mots de passe et données circulant sur les réseaux, notamment les hotsposts Wi-Fi des cybercafés et des hôtels, intercepter les communications téléphoniques (VOIP et Dect), craquer les mots de passe… et autres techniques et méthodes de “cyberguerre“.

Gamma Group, la société britannique à l’origine de FinFisher, se présente comme fournisseur de systèmes et technologies d’interception des télécommunications (internet, satellite -Thuraya, Inmarsat-, GSM, GPRS, SMS, etc.) à l’intention des agences gouvernementales et forces de l’ordre, à qui elle peut également vendre micro-espions et micro-caméras cachées de vidéosurveillance, camionnettes d’interception et outils de crochetage permettant d’ouvrir n’importe quelle porte…

Créée en 1990 et présente à Munich, Dubai, Johannesburg, Jakarta et Singapour, Gamma n’évoque nulle part le fait qu’elle se refuserait à vendre ces systèmes à des pays non démocratiques, ou connu faire peu de cas des droits de l’Homme.

En avril dernier, le Wall Street Journal révélait que des documents, découverts au siège de la “division de la pénétration électronique” (sic) de la police secrète égyptienne, démontraient que son logiciel espion avait bel et bien été utilisé pour espionner des militants politiques, les communications de l’un d’entre-eux ayant ainsi été espionnées. Il expliquait notamment l’importance d’utiliser Skype “parce qu’il ne peut être pénétré par aucun dispositif de sécurité“…

Basem Fathi, un activiste égyptien de 26 ans, a ainsi découvert que les services de sécurité égyptiens avaient été jusqu’à ficher sa vie amoureuse, et ses détours à la plage : “je crois qu’ils collectionnaient tous les petits détails dont ils entendaient parler en nous écoutant, avant de l’enregistrer dans des fichiers“.

Un mémo “Top Secret” du ministère de l’Intérieur égyptien en date du 1er janvier 2011, que le WSJ a pu consulter, révèle que les autorités égyptiennes avait payé 388 604€ pour pouvoir tester le logiciel espion pendant cinq mois, et disposer du soutien de quatre employés du revendeur égyptien de Gamma, Modern Communication Systems. Ce qui leur a permis d’espionner de nombreux militants, allant jusqu’à la “pénétration réussie de leurs réunions… quand bien même elles étaient chiffrées par Skype“.

Les Egyptiens n’étaient pas les seuls à être espionnés : les documents ont également révélé que les conversations de Sherif Mansour, représentant de l’ONG américaine Freedom House, venu en Egypte surveiller le bon déroulement des élections, avaient elles aussi été interceptées. Conscient de gêner les autorités, il avait précisément mis en place un “protocole de sécurité consistant notamment à utiliser Skype aussi souvent que possible“, au motif qu’il est plus sécurisé que les emails…

Interrogé par le WSJ, Mr Mansour se dit surpris : “quand ils arrêtaient des blogueurs, ils les torturaient pour obtenir leurs mots de passe. Nous avions donc l’impression qu’ils ne pouvaient pas espionner nos conversations“.

A l’issue de la période d’essai, en décembre 2010, le ministère de l’Intérieur, satisfait, approuva l’achat du logiciel de Gamma. Le printemps arabe et la révolution égyptienne l’en a empêché.

Retrouvez notre dossier sur les Spy Files :

- Mouchard sans frontière

- La carte d’un monde espionné

Retrouvez nos articles sur Amesys.

Retrouvez tous nos articles sur WikiLeaks et La véritable histoire de WikiLeaks, un ebook d’Olivier Tesquet paru chez OWNI Editions.

Vous pouvez également me contacter de façon sécurisée via ma clef GPG/PGP (ce qui, pour les non-initiés, n’est pas très compliqué). A défaut, et pour me contacter, de façon anonyme, et en toute confidentialité, vous pouvez aussi passer par privacybox.de (n’oubliez pas de me laisser une adresse email valide -mais anonyme- pour que je puisse vous répondre).

Pour plus d’explications sur ces questions de confidentialité et donc de sécurité informatique, voir notamment « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Retrouvez notre dossier sur le sujet :
Une journée sous surveillance et Des chevaux de Troie dans nos démocraties

Tous les articles OWNI/WikiLeaks sont là

La semaine passée, OWNI révélait en partenariat avec Wikileaks, dans le cadre de l’opération SpyFiles, que la société française Amesys avait contribué à espionner plus d’une dizaine de “figures historiques” de l’opposition libyenne, dont l’actuel ministre libyen de la culture, ainsi que l’ambassadeur de la Libye à Londres. Leurs noms ou adresses e-mails figurent en effet sur une capture d’écran, que nous avons désanonymisée, à l’intérieur d’un document décrivant le mode d’emploi d’Eagle, un système de surveillance “massif” de l’Internet vendu par Amesys à la Libye de Kadhafi.

Bruno Samtmann, directeur commercial d’Amesys, cherche aujourd’hui à se dédouaner en expliquant, à France TV que son système a été créé pour identifier les pédophiles, laissant entendre que le nouvel ambassadeur de la Libye à Londres serait peut-être un pédophile, voire un narco-trafiquant…

En outre, d’autres captures d’écran du système Eagle révèle que ses utilisateurs ont également cherché à identifier “tous les employés” d’une banque tunisienne, qu’on y trouve ainsi des dizaines d’adresses mail et de courriels échangés par plusieurs de ses employés (essentiellement des femmes), ainsi que des reçus envoyés automatiquement par les robots de la banque, ou encore par le système SWFIT de transferts interbancaires… que l’on pourrait difficilement suspecter de pédophilie.

La page 11 du manuel est censée expliquer comment le “superutilisateur” du système assigne des tâches aux opérateurs chargés de faire le tri dans les télécommunications interceptées. Or, on peut y lire  :

merci d’identifier tous les employés de cette banque

La BIAT est la Banque internationale arabe de Tunisie, l’une des plus importantes institutions financières en Afrique du Nord, et la première banque privée tunisienne.

Les pages qui suivent, dans le manuel, sont ainsi truffées d’adresses e-mail de type prénom.nom@biat.com.tn, mais également de nombreuses adresses en @yahoo.fr, @gmail.com, @hotmail.com, @voila.fr, @wanadoo.fr ou @laposte.net… sans que l’on sache trop s’il s’agit de clients, ou bien d’employés, ni s’il s’agit de Français ou bien de francophones :

On y trouve également un e-mail de confirmation (en français) d’un virement SWIFT envoyée par la BIAT à l’un de ses clients libyens :

Contactée, la Society for Worldwide Interbank Financial Telecommunication (SWIFT), qui fournit des services de messagerie standardisée de transfert interbancaire à plus de 9700 organismes bancaires, établissements financiers et clients d’entreprise dans 209 pays, confirme que “l’email envoyé par la banque BIAT fait bien référence à une transaction effectuée sur le réseau SWIFT” :

Il s’agit en fait d’une communication entre la banque et son client dont l’objet est la confirmation de l’exécution d’une opération demandée par le client. Il s’agit là d’une procédure classique : la banque opère pour le compte d’un client qui n’est pas lui-même connecté à SWIFT et lui envoie ensuite confirmation de la bonne réalisation de l’opération.

Interrogée pour savoir si cela constituait une violation de la sécurité de SWIFT, le réseau interbancaire tient à préciser qu’”en aucun cas la sécurité et la confidentialité des informations qui transitent par le réseau SWIFT ne sont affectées“. A contrario, elle précise également que la banque gagnerait à sécuriser ses communications :

L’utilisation d’un canal d’échange de type mail non sécurisé pour effectuer cet échange ne dépend pas de SWIFT lui-même, mais relève du domaine de responsabilité de la banque BIAT. Toutefois, Il faut noter que celle-ci prend la précaution de n’envoyer à son client qu’une copie de l’acquittement technique de remise du message au réseau (d’où le nom du fichier en pièce jointe Ack6429108787 : Ack = Acknowledgement). Cet acquittement ne contient que des données techniques relatives à la transmission du message (horodatage, référence unique de transfert ..) mais ne contient pas le message en lui-même. Cet acquittement délivré par le réseau SWIFT donne la preuve au client de la bonne prise en compte de son opération et peut être utilisé en cas de litige avec la contrepartie.

Cet échange de mail ne remet donc pas en cause la confidentialité de l’opération réalisée par la banque sur le réseau SWIFT. Si cet échange est au-delà du domaine d’intervention et de responsabilité de SWIFT, ce dernier peut néanmoins conseiller à la banque BIAT d’utiliser un réseau sécurisé pour communiquer ce genre d’informations à ses clients.

Qui a espionné la banque de Ben Ali ?

Créée par Mansour Moalla, l’ancien ministre des finances de Bourguiba limogé par Ben Ali, la BIAT était passée sous le contrôle du groupe des frères Mabrouk (dont Marouane, marié à Cyrinne, l’une des filles de l’ancien président Zine el-Abidine Ben Ali) qui, fort de leur trésorerie alimentée par les super et hypermarchés Monoprix, avait acquis 24% du capital, pour 47,5 millions d’euros cash, en 2006. En septembre 2007, elle ouvrait un bureau de représentation à Tripoli.

En octobre 2008, le groupe Mabrouk montait à hauteur de 30% ce qui, avec les 8% que détenait l’homme d’affaires Aziz Miled, lui aussi très proche de Ben Ali et du clan Trabelsi, leur donnait la minorité de blocage.

Les captures d’écran désanonymisées montrent que l’espionnage des mails de la BIAT a été effectué dans la foulée, d’octobre 2008 à début 2009.

Suite à la fuite de Ben Ali, en 2011, le Conseil du marché financier (CMF) tunisien a publié un communiqué de la BIAT révélant que la banque avait financé 26 sociétés et 10 groupes appartenant à des proches ou membres de la famille de Ben Ali, à concurrence de près de 350 millions de dinars, soit près de 180 millions d’euros, représentant 6,5% du total des engagements de la banque.

En réponse à notre enquête, la société Amesys a envoyé un communiqué interne à tous ses salariés, que Reflets.info s’est procuré, et qui cherche à se dédouaner :

Les copies d’écrans qui figurent dans le manuel d’utilisation ont été fournies exclusivement par le client.

Outre le caractère somme toute cocasse de cette tentative de justification (il est relativement rare qu’une entreprise demande à son client de l’aider à réaliser le mode d’emploi du produit qu’elle lui a vendu), cette explication ne tient pas pour les dizaines d’adresses e-mails des employés de la BIAT. Comment, en effet, le système Eagle de surveillance de l’Internet, installé en Libye, aurait-il pu intercepter des mails échangés entre employés d’une banque tunisienne ? Sauf à imaginer que le trafic Internet de la Tunisie transite par la Libye, on peine à comprendre comment les utilisateurs d’Eagle, à Tripoli, auraient pu espionner des Tunisiens écrivant à des Tunisiens, ce que reconnaît d’ailleurs la porte-parole d’Amesys qui, interrogée à ce sujet, reconnaît que cela aurait effectivement été “techniquement impossible“.

Amesys a certes vendu son système Eagle a plusieurs autres pays au Moyen-Orient, mais rien n’indique qu’il ait jamais été vendu à la Tunisie de Ben Ali. Et il est d’autant plus improbable que les captures d’écran aient été faites en Tunisie qu’au moment de la rédaction du manuel, entre la fin 2008 et le mois de mars 2009, Eagle venait tout juste d’être installé à Tripoli.

Des dizaines de Tunisiens, utilisant des adresses e-mails de prestataires tunisiens, français et américains, ont donc été espionnés, et le contenus de leurs e-mails, ainsi que leurs contenants (qui écrit à qui, quand, au sujet de quoi ?), ont été “analysés“, entre la fin 2008 et début 2009, au moment même où le groupe Mabrouk finalisait sa prise de contrôle de la BIAT, par un utilisateur non-identifié du logiciel d’Amesys. Reste donc à savoir par qui, et pour quoi la Libye, Amesys ou encore les services de renseignement français (Amesys se présente comme le principal fournisseur de solutions d’interception des communications des ministères de la Défense et de l’Intérieur) se seraient ainsi intéressés aux employés de la BIAT à ce moment-là.