WikiLeaks a traqué les vendeurs d’armes de surveillance

amesys-candy-ccloguy-640x430px

Selon les révélations de l’unité de contre-espionnage de WikiLeaks, auxquelles Rue89 a eu accès avec 18 médias étrangers, les marchands de surveillance numérique privilégient les pays peu regardants sur les droits de l’homme.

Les marchands d’armes n’aiment guère la publicité. Problème : les télécommunications, ça laisse des traces, opportunément exploitées par la NSA (entre autres), comme Edward Snowden l’a amplement démontré.

WikiLeaks a décidé de rendre publique la liste des pays visités par les principaux marchands d’armes de surveillance numérique, dont trois « sociétés ennemies d’Internet » – pointées du doigt par Reporters sans frontières pour avoir vendu des logiciels espions à des pays eux aussi considérés par RSF comme des « ennemis d’Internet ».

En 2011, WikiLeaks avait rendu publics, avec ses « SpyFiles », des centaines de documents internes révélant l’ampleur du business des logiciels et systèmes d’espionnage et de surveillance des télécommunications.

Dans une nouvelle série de révélations, intitulée « SpyFiles 3 », à laquelle Rue89 a eu accès en partenariat avec dix-huit autres médias étrangers, WikiLeaks révèle que la WLCIU (pour WikiLeaks Counter Intelligence Unit), son « unité de contre-espionnage » (sic), a recensé les pays d’où se sont connectés les téléphones portables de dix-neuf employés ou responsables de onze marchands d’armes de surveillance numérique.

Surveillés depuis des mois par WikiLeaks

Du 4 au 6 juin derniers, le gotha de la surveillance des télécommunications se réunissait au Clarion Congress Hotel de Prague, à l’invitation d’ISS World. L’entrée de ce salon itinérant, interdit aux journalistes mais organisé sur les cinq continents, facturée entre 995 et 2 295 dollars (entre 755 et 1 742 euros), est réservée aux représentants de services de renseignement, forces de l’ordre et gouvernements.

Les participants viennent y découvrir les dernières nouveautés en matière de surveillance et d’interception des télécommunications, assister à des démonstrations « live » de logiciels espions, et à des dizaines de conférences où les marchands d’armes expliquent comment leurs systèmes et logiciels peuvent aider les autorités à surveiller et combattre « les activités criminelles conduites sur les réseaux de télécommunication, l’Internet et les réseaux sociaux ».

Du 7 au 9 juillet, plusieurs de ces marchands d’armes se retrouvaient à Lyon, au forum Technology Against Crime, qui se targue de vouloir devenir le « Davos de la sécurité » puis, du 22 au 25, au Brésil, pour l’édition sud-américaine du salon ISS.

Ce qu’ils ne savaient pas, c’est que plusieurs d’entre eux étaient surveillés, depuis des mois et pour certains des années, par l’unité de contre-espionnage de WikiLeaks.

Et force est de constater que, lorsqu’ils sont en voyage d’affaires, ces mercenaires du numérique ont une furieuse tendance à privilégier les pays peu regardants en matière de droits de l’homme. (Dans la carte ci-dessus, cliquez sur les pays en rouge pour connaître leur rang au classement RSF de la liberté de la presse, et découvrir quels marchands d’armes les ont visités.)

Droits de l’homme et bord de mer

L’allemand Trovicor, ex-Nokia Siemens Networks, est l’un des plus gros fournisseurs de solutions légales d’interception dans le monde. Plus de 100 pays utiliseraient ses technologies, et c’est le principal sponsor du salon ISS. Son code de bonne conduite précise, au chapitre « business ethics » que l’objectif de l’entreprise est de faire partie des industries leaders en matière de responsabilité sociale et de respect des droits de l’homme.

Elle n’en a pas moins fourni des systèmes d’interception à l’Iran, au Bahreïn et en Syrie, ce qui en a fait l’un des principaux « ennemis d’Internet » pour RSF. Sur ses 170 employés, un seul était surveillé par la WLCIU, qui avance que, depuis janvier, il a été deux fois aux Emirats arabes unis (où Trovicor a une filiale), ainsi qu’en Bulgarie, Serbie, et en Thaïlande, l’un des quatorze pays placés « sous surveillance » par RSF en 2012, en raison de ses velléités de contrôle, de filtrage et de censure d’Internet.

Contactée, la responsable communication de Trovicor à répondu à Rue89 que la liste de ces pays lui fait penser à l’itinéraire de quelqu’un qui apprécierait particulièrement les pays en bord de mer, et que son employeur s’interdit par ailleurs de vendre ses solutions à tout pays en guerre civile…

Mr Q. au Turkménistan

Elaman, elle aussi allemande, se présente comme spécialiste des « solutions de sécurité gouvernementale ». Son catalogue, que WikiLeaks avait rendu public à l’occasion des Spy Files, est un inventaire de tout ce dont aurait rêvé le Mr Q. de James Bond.

Sur la page d’accueil de son site web, Elaman avance que « la confidentialité est essentielle dans le business de la sécurité ». Elle aurait donc probablement préféré que l’on ne sache pas que, du 21 au 24 janvier dernier, puis les 12 et 13 juin, son responsable commercial, Holger Rumscheidt, était au Turkménistan, 177e (sur 179) au classement RSF de la liberté de la presse, un des douze pays considérés par l’ONG, en 2012, comme faisant partie des « ennemis d’Internet ».

Décrit par RSF comme « l’un des plus fermés au monde », le Turkménistan est aussi l’« un des pays les plus hostiles à la liberté d’expression ». Facebook, Twitter, YouTube et Gmail y sont bloqués et « les possesseurs d’antennes paraboliques ou de téléphones portables sont considérés comme des ennemis en puissance ».

La liste des pays d’où Rumscheidt s’est connecté au réseau téléphonique indique qu’il a aussi visité l’Azerbaïdjan (156e du classement RSF) en février 2012, la Jordanie (134e) en avril dernier, et multiplié les déplacements au Liban (101e), au sultanat d’Oman (141e) et aux Emirats arabes unis (114e), par ailleurs placés « sous surveillance » par RSF en 2012, suite aux « arrestations arbitraires » de plusieurs blogueurs qui avaient osé demander aux autorités de procéder à des réformes, ce qui leur avait valu des condamnations de deux à trois années de prison.

Les logiciels espions des Printemps arabes

Le groupe britannique Gamma, une des cinq sociétés classées « ennemies d’Internet » par RSF, n’est pas en reste : entre les 2 et 10 mars 2013, pas moins de quatre de ses principaux responsables se rendaient ainsi aux Emirats arabes unis, en compagnie d’Holger Rumscheidt (Gamma a noué une alliance de sécurité avec Elaman). Au total, huit des onze entreprises surveillées par la WLCIU ont visité les Emirats l’an passé.

La liste de WikiLeaks révèle que les employés de Gamma placés sous surveillance auraient par ailleurs visité le sultanat d’Oman, le Liban, l’Ouganda (104e au classement RSF), le Qatar (110e), le Nigéria (115e), Brunei (122e), l’Ethiopie (137e), l’Indonésie (139e) et la Guinée Equatoriale (166e), ainsi que deux des douze pays placés « sous surveillance » par RSF à l’occasion de son rapport sur les « ennemis d’Internet » : la Malaisie (145e) et le Kazakhstan (160e).

L’employé de Gamma dont le téléphone portable était, du 9 au 12 juin dernier, localisé au Kazakhstan, est un « usual suspect » : Martin Münch, né en 1981, est le responsable de FinFisher, une suite de logiciels espions (ou « chevaux de Troie ») qui ont beaucoup fait parler d’eux depuis que, Printemps arabes aidant, on a découvert qu’ils avaient été utilisés en Egypte, pour espionner des dissidents au Bahrein, ainsi que, comme l’ont révélé des chercheurs américains au printemps dernier, dans au moins 35 pays, dont quinze des pays visités par les employés de Gamma et de ses filiales l’an passé (Brunei, Nigeria, Afrique du Sud, République tchèque, Ethiopie, Indonésie, Malaisie, Mexique, Qatar, Serbie, Singapour, Turkménistan, Royaume-Uni, Etats-Unis, Emirats arabes unis).

25 200 euros le « kit d’intrusion »

WikiLeaks publie par ailleurs une dizaine de documents révélant comment FinFisher et une entreprise suisse, DreamLab, ont vendu un « proxy d’infection » afin de pouvoir infecter les ordinateurs des citoyens ou résidents d’Oman et du Turkménistan (à la demande de leur gouvernement), ainsi qu’une fiche confidentielle révélant combien sont facturés ces logiciels espion.

Comptez 25 200 euros le « kit d’intrusion », ou bien 100 000 euros la licence de FinSpy, sa solution complète d’intrusion à distance, si vous voulez espionner de une à dix cibles, mais 250 000 euros si vous voulez en surveiller plusieurs centaines, plus 9 500 euros de licence (par client). Le support technique, et les mises à jour, sont facturés 255 338 euros la première année, ou 308 960 euros pour trois ans. Les formations, elles, sont facturées 22 500 euros, les cinq jours. Un juteux business qui a d’ailleurs conduit Gamma à ouvrir un compte « offshore » aux Iles vierges britanniques…

Interviewé par un journaliste de Bloomberg, Martin Münch déplorait l’an passé la publicité faite par les nombreux articles expliquant comment les logiciels espions de FinFisher étaient utilisés pour espionner des défenseurs des droits de l’homme et cyberdissidents, et expliquait avoir abandonné toute forme de vie sociale : « Si je rencontre une fille et qu’elle tape mon nom dans Google, je suis sûr qu’elle ne me rappelera jamais »…

Le blog du « voyageur au Moyen-Orient »

D’autres employés n’ont pas ces pudeurs de jeunes filles : Nelson Brydon, qui se présente sur son compte Twitter (@Brydon_N, désormais indisponible) comme « voyageur au Moyen-Orient » a ouvert un blog (désormais indisponible aussi) où il narre ses nombreux voyages en avion entre le Qatar et Dubaï, l’Ouganda, l’Arabie saoudite, les Emirats arabes unis et Munich – siège social d’Elaman, révélant incidemment la liste des pays où sont donc probablement installés des logiciels ou systèmes espions de Gamma, son employeur.

Sur ce blog, Nelson Brydon ne parle pas de son métier mais, une fois par an, il rédige un (très) long billet où il explique ce que cela fait de prendre l’avion, et compare les compagnies aériennes, les stewards, hôtels…

Le dernier billet se conclut par un « rendez-vous en 2013 ». Sans trahir de secret professionnel, la liste de WikiLeaks indique que, rien qu’entre février et août, il a déjà été cette année sept fois au Qatar, ainsi qu’aux Emirats arabes unis, à Oman, en Malaisie, qu’il était à Chypre du 8 au 29 juillet (en vacances ?), et qu’il était de nouveau au Qatar du 18 au 22 août derniers.

Les petits secrets d’Hacking Team

L’unité de contre-espionnage de WikiLeaks s’est également intéressée au principal concurrent de FinFisher, Hacking Team, une entreprise italienne elle aussi placée dans la liste des « ennemis d’Internet » de RSF. Elle s’était en effet fait connaître après que des journalistes marocains, et un blogueur des Emirats arabes unis, ont reçu des e-mails infectés par « Da Vinci », son logiciel espion.

En avril dernier, une étude de Kaspersky Lab avait révélé que le cheval de Troie d’Hacking Team était particulièrement utilisé au Mexique, en Italie, au Vietnam, aux Emirats arabes unis, en Irak, au Liban et au Maroc. La WLCIU révèle aujourd’hui que les deux employés de Hacking Team qu’elle a surveillé ont multiplié les courts séjours (de deux jours) au Maroc en 2011, 2012 et 2013, ainsi qu’aux Emirats arabes unis, à Singapour, en Serbie, en Espagne, Egypte, Arabie saoudite, au Qatar, Liban, en Malaisie et à Oman.

Eric Rabe, conseiller juridique de Hacking Team, a refusé de commenter la liste des pays visités, mais a tenu à préciser que son employeur avait constitué un panel d’experts indépendants habilité à opposer un veto à tout contrat, qu’il vérifie systématiquement si leurs nouveaux clients pourraient se servir de leurs logiciels espions pour commettre des violations des droits de l’homme, et qu’Hacking Team se réserve le droit de refuser ou suspendre tout contrat en pareil cas, ce qui serait déjà arrivé.

Interrogé sur les soupçons d’utilisation de leur cheval de troie pour espionner des opposants marocains et émiratis, Eric Rabe refuse de rendre publiques les conclusions de leur contre-enquête, ni d’éventuelles mesures prises depuis. Il refuse également de révéler l’identité des experts indépendants, non plus que de leur permettre de répondre aux questions des journalistes, afin d’éviter qu’ils ne fassent l’objet de « pressions pouvant influencer leurs décisions »…

Julian Assange : « Surveiller les surveillants »

Et c’est précisément, explique le fondateur Julian Assange, pour « mettre en lumière cette industrie secrète de la surveillance, qui travaille main dans la main avec les gouvernements de par le monde pour autoriser l’espionnage illégitime de citoyens » que WikiLeaks a lancé ces « SpyFiles 3 », qui permet de doubler le nombre de documents, brochures, plaquettes et autres portfolios émanant des marchands d’armes de surveillance numérique contenus dans la base de données de l’ONG.

Interrogé sur ce qui lui avait permis de mener l’opération de « location tracking » (sic), Julian Assange oppose un « no comment » ferme et définitif. Tout juste consent-il à expliquer que « le rôle de la WLCIU est de protéger les actifs, personnels et sources de WikiLeaks de toute opération d’espionnage hostile, et de révéler la nature des menaces en terme d’espionnage qui pèsent sur les journalistes et leurs sources » :

« Cela comprend des mesures de contre-espionnage incluant, par exemple, la détection de mesures de surveillance mais également le fait de recevoir des informations émanant de sources internes aux organisations susceptibles de menacer la sécurité des journalistes.

Les données collectées par la WLCIU et révélées dans ces SpyFiles 3 permettent aux journalistes et citoyens d’aller plus loin dans leurs recherches portant sur l’industrie de la surveillance, et de surveiller les surveillants. »

Les révélations de la WLCIU ont permis au magazine espagnol Publico de découvrir que la Guardia Civil et l’armée espagnole avaient passé un contrat avec Gamma. En février dernier, plusieurs ONG, dont Reporters sans frontières et Privacy International, portaient plainte contre Gamma et Trovicor, qui auraient violé onze des principes directeurs de l’OCDE, censés garantir la responsabilité sociale des multinationales, en fournissant des armes de surveillance numérique au Bahreïn.

Les nouvelles révélations de WikiLeaks, et la liste des pays, pourraient donner de nouveaux arguments à ceux qui plaident pour un contrôle à l’exportation des systèmes et outils de surveillance et d’interception des télécommunications qui, à ce jour, ne sont pas considérés comme des « armes », et peuvent donc être vendus à des pays connus pour bafouer les droits de l’homme, en toute légalité.

Source Rue 89. 04/09/2013

Voir aussi : Rubrique Internet, rubrique Médias, rubrique Politique, Société civile, rubrique Société, Citoyenneté