Florian Reynaud
C’est un marché qui peut se révéler très lucratif, mais qui goûte peu la transparence. Depuis moins d’une dizaine d’années, des chercheurs et des ONG révèlent l’existence de logiciels espions perfectionnés, développés par des entreprises privées et vendus dans le monde entier à des services de renseignement étatiques et à des forces de police. A l’heure où les outils de communication numériques prennent de plus en plus d’importance dans les enquêtes criminelles et antiterroristes, ces sociétés leur fournissent des sésames censés ouvrir les portes de n’importe quel ordinateur ou téléphone.
Un marché qui fait, aussi, des victimes collatérales. Des activistes, des chercheurs et des journalistes sont régulièrement la cible de ces logiciels indiscrets sous certains régimes autoritaires.
Qui sont ces fabricants de « mouchards » ? Qui sont leurs clients ? Que font ces « armes » numériques ? Plongée dans l’univers opaque des logiciels espions.
Elles se nomment Hacking Team, FinFisher ou encore NSO Group. Elles sont quatre ou cinq, nées il y a à peine une quinzaine d’années, à avoir fait l’actualité ces dernières années. Mais, en réalité, le marché de la surveillance est si opaque « qu’il est possible qu’on n’en connaisse même pas les plus gros acteurs », explique Bill Marczak, un des principaux experts dans ce domaine.
M. Marczak est chercheur associé au laboratoire canadien Citizen Lab, un groupe d’experts en sécurité informatique qui s’est imposé, en quelques années, comme la plus importante source d’information sur les vendeurs de logiciels espions :
« Des entreprises comme FinFisher et Hacking Team ont commencé à apparaître à partir du milieu ou de la fin des années 2000. Avant elles, il n’y avait pas vraiment d’entreprises vendant les mêmes produits. »
Sans surprise, ces entreprises fuient la lumière et opèrent en toute discrétion. Ni Hacking Team, ni Gamma International (filiale de FinFisher) n’ont répondu aux sollicitations du Monde.
Mais depuis plusieurs années, des experts et hackers ont réussi à en savoir davantage sur certaines d’entre elles. Ces entreprises, tout comme les groupes de hackers cybercriminels ou liés à des services de renseignement, laissent souvent des traces derrière elles : contraints de réutiliser des outils, des serveurs, du code informatique, ces logiciels deviennent plus facilement identifiables par les experts qui suivent leur piste.
Vidéo promotionnelle de l'entreprise Hacking Team pour son logiciel espion Galileo
Entreprise italienne, Hacking Team est devenue, contre son gré, la principale source d’information sur le marché des logiciels espions au cours de l’été 2015. Une importante quantité de données confidentielles de l’entreprise a été volée et diffusée en ligne. Ce piratage a été revendiqué par un ou plusieurs hackers, qui se surnomment Phineas Fisher.
Les e-mails et documents volés, publiés par la suite par WikiLeaks et le groupe d’experts Transparency Toolkit, donnent notamment un aperçu du produit phare de Hacking Team, l’outil de surveillance Remote Control System, et de sa dernière version logicielle connue, nommée Galileo.
Cette entreprise, qui s’est constituée un impressionnant carnet de clients (dont l’Italie, l’Arabie saoudite et les Etats-Unis), fonctionne comme n’importe quelle société commerciale, avec plusieurs dizaines de salariés identifiés, des responsables de la communication, qui établissent des éléments de langage pour répondre à chaque polémique, et un PDG, David Vincenzetti, qui a donné plusieurs interviews à la presse, et notamment au New York Times. Homme marié de 48 ans, M. Vincenzetti est présenté dans les rares portraits qui lui sont consacrés comme un jeune hackeur autodidacte, devenu businessman.
En savoir plus
Le New York Times et le magazine Foreign Policy ont chacun consacré un portrait à David Vincenzetti, PDG de Hacking Team, devenu l’un des rares visages du commerce de la surveillance.
Lire "Fear this man" de Foreign Policy
Lire "Cyberwar for sale" de Foreign Policy
L’entreprise israélienne NSO Group, présidée par Eran Gorev, a été rachetée en 2014 par le fonds d’investissement américain Francisco Partner. La société a produit ce qui a été décrit par plusieurs experts comme le plus sophistiqué de tous les logiciels espions ciblant les téléphones mobiles : Pegasus.
Cet outil, vendu à des gouvernements et utilisé par des services de renseignement et des polices, utilisait notamment trois failles de sécurité extrêmement rares sur iOS, le système d’exploitation qui équipe les iPhone d’Apple. Un lien était envoyé par SMS à la cible : si celle-ci l’ouvrait dans son navigateur Safari, son téléphone était infecté de façon complètement invisible. L’attaquant avait alors accès à tous les messages de sa cible, à ses conversations téléphoniques et à la géolocalisation de l’appareil, et pouvait même activer à l’envi la caméra ou le micro du téléphone.
Très peu d’informations circulent sur les clients de NSO Group, mais ses malwares – ciblant aussi bien Android, le système d’exploitation pour smartphone de Google, et iOS – ont été repérés aux Emirats arabes unis et au Mexique par les chercheurs du Citizen Lab. Selon le site spécialisé Intelligence Online et l’agence de presse Reuters, Francisco Partners s’appuie en Europe sur plusieurs sociétés luxembourgeoises : OSY Technologies, Triangle Holdings et Square 2. NSO s’apprête par ailleurs à changer de nom, celui-ci étant sali par des scandales, pour se baptiser Q Cyber Technologies.
C’est grâce au travail méticuleux d’experts en sécurité que, depuis plusieurs années, des « échantillons » de logiciels espions professionnels ont pu être récupérés et analysés, alors qu’ils ont pour objectif de ne pas être découverts. Qu’il s’agisse de l’italien Galileo, de l’israélien Pegasus ou de l’allemand FinFisher, tous ces outils ont le même mot d’ordre : tout est bon à prendre, des SMS reçus et envoyés à la géolocalisation, en passant par les e-mails, le micro et l’appareil photo d’un téléphone. A l’autre bout de la lorgnette, les utilisateurs du logiciel disposent généralement d’un tableau de bord, qui leur permet d’extraire les données nécessaires à une enquête judiciaire, par exemple.
Le flou qui entoure la vente de logiciels espions à des Etats commence dès l’entrée en contact d’une entreprise avec un gouvernement. La plupart des cas documentés montrent que ces rencontres se font rarement de but en blanc.
Il existe des endroits où toutes ces entreprises sont rassemblées. Des conventions, salons et rassemblements annuels bien connus comme la Milipol, ou l’ISS World, dédiés aux technologies militaires et policières, où se rencontrent gouvernements et acteurs privés.
Seth Hardy, chercheur pour l’entreprise de cybersécurité Lookout :
« Les participants à ces événements sont contrôlés de près afin de s’assurer qu’ils sont bien des professionnels du secteur et pas des journalistes mettant leur nez là où il ne le faut pas. »
Des acteurs intermédiaires entrent aussi en jeu. C’est ainsi qu’en 2013 un équipementier français est entré en contact avec Hacking Team, précisant qu’un de ses « partenaires » lui avait recommandé les logiciels espions italiens, et qu’il envisageait de les proposer à un de ses clients gouvernementaux. De même, aux Etats-Unis, l’agence fédérale antidrogues, la DEA, achetait des services à Hacking Team à travers une entreprise qui agissait comme revendeur du fabricant italien aux Etats-Unis.
Quand ces entreprises s’expriment en public, elles déclarent, pour la plupart, ne vendre leurs logiciels qu’à des acteurs étatiques, afin qu’ils soient utilisés par des services de renseignement ou de police dans leur lutte contre le terrorisme, ou encore contre le trafic de drogue. C’est par exemple ce qu’assurait au New York Times le porte-parole de NSO Group, Zamir Dahbash, en septembre 2016.
Selon un des documents internes dérobés lors du piratage de Hacking Team, l’entreprise comptait une cinquantaine de « clients actifs » en 2015. Une enquête du Citizen Lab estimait en 2014 qu’au moins 21 gouvernements étaient suspectés d’avoir acheté et utilisé les outils de l’italien Hacking Team.
Les mêmes chercheurs ont suivi la trace de la société allemande FinFisher. Selon un rapport publié en octobre 2015, une trentaine de pays pourraient avoir utilisé un outil de surveillance de l’entreprise. Ces entreprises « vendront à tous ceux qui seront prêts à payer », estime Bill Marczak. « Dans le cas de certains pays au Moyen-Orient et au Proche-Orient, des gouvernements riches sont prêts à payer pour surveiller les activistes et prévenir de possibles soulèvements », poursuit le chercheur, qui souligne notamment l’effet incitatif des révoltes du Printemps arabe dans les années 2010.
Le prix de vente de ces outils n’est jamais communiqué directement. Les gouvernements qui s’offrent les services de Hacking Team, par exemple, paient à la fois pour l’installation, une brève formation aux outils, un service client et l’achat des licences d’utilisation. Au total, pour chaque client étatique, la facture annuelle peut s’élever à plusieurs centaines de milliers d’euros, selon un document interne de Hacking Team que Le Monde a pu consulter.
Les autorités françaises n’ont jamais confirmé l’achat de logiciels espions à des entreprises privées. Après le piratage de Hacking Team, des documents ayant fuité ont montré des contacts entre les autorités françaises et l’entreprise italienne, notamment en 2013, 2014 et 2015, mais le ministère de l’intérieur avait assuré au Monde, à l’époque de la fuite, que ces contacts n’avaient pas abouti à une transaction.
Lire aussi
Les logiciels espions de Hacking Team intéressaient aussi la France
L’entreprise italienne commercialisant des logiciels espions a été en contact avec des ministères français pour tenter de leur vendre son principal logiciel de surveillance, révèlent des documents piratés.
Les logiciels espions sont considérés par des textes de droit international comme des biens à double usage (“dual use goods”), ce qui signifie que leur exportation et leur commerce doivent être contrôlés et régulés au même titre que pour les armes. Le texte essentiel en la matière est l’”Arrangement de Wassenaar”, un accord non contraignant liant une quarantaine de pays, dont la France et les Etats-Unis, mais dont l’application est laissée à la discrétion des pays membres. Si ce texte a été amendé en 2013 pour prendre en compte la menace de certains outils numériques, ces changements n’ont par exemple pas encore été répercutés au niveau national aux Etats-Unis, où des débats ont opposé humanitaires, législateurs et entreprises de la tech.
Pour Sarah McKune, experte juridique au Citizen Lab, “l’intégration de ces textes dans les droits nationaux et la rigueur des contrôles effectués” sont les maillons faibles de cette tentative d’enrayer les ventes de mouchards à des régimes autoritaires.
Toutes les entreprises incriminées ces dernières années assurent se conformer au droit international et aux règles d’exportation, mais Mme McKune, comme d’autres experts, s’inquiète d’un laxisme des autorités nationales pour favoriser la croissance de leurs entreprises.
Eurodéputée Verte engagée sur le sujet, Marietje Schaake appelle l’Union européenne à prendre des mesures pour empêcher la vente de cyberarmes à des régimes autoritaires. Elle estime que les réglementations actuelles sont insuffisantes, et trop mal appliquées pour lutter contre les dérives de ces logiciels espions.
L’eurodéputée libérale néerlandaise est l'un des visages, à Bruxelles, de la lutte contre le commerce non régulé des logiciels espions.
Tous ces logiciels sont en principe vendus afin d’être utilisés dans le cadre légal de chaque pays, afin de lutter aussi bien contre le terrorisme que le trafic de drogue : la DEA, par exemple, l’agence fédérale anti-drogue américaine, faisait partie des clients de Hacking Team.
Vendus à certains pays, ces logiciels espions peuvent toutefois devenir des outils de répression contre des opposants politiques. C’est le cas, par exemple, en Egypte.
Des écouteurs vissés dans les oreilles, coiffé d’un keffieh typique de la péninsule arabique, Ahmed Mansoor communique prudemment. Depuis qu’il a commencé à critiquer publiquement le gouvernement des Emirats arabes unis, il n’a pas seulement fait de la prison et été agressé par un inconnu, mais son ordinateur et son téléphone portable sont aussi régulièrement la cible d’attaques informatiques.
Ce militant décoré du prix Martin Ennals – sorte de Prix Nobel des droits de l’homme – est emprisonné depuis plusieurs semaines, accusé de diffamation et d’attaques contre le gouvernement émirati, et sa détention a suscité l’indignation de plusieurs ONG, dont Amnesty International. Quelques mois plus tôt, il a accordé une interview au Monde, pour parler de son militantisme et des attaques, physiques et informatiques, dont il a été la cible en raison de son engagement politique.
En quelques années, le militant émirati a été ciblé par des logiciels espions commercialisés par au moins trois entreprises privées différentes, dont deux sises en Europe. Mais, comme dans tous les cas étudiés par le Citizen Lab, il fut impossible d’établir le commanditaire exact de l’attaque, et de le relier aux autorités des Emirats arabes unis. Cependant, des documents internes de Hacking Team ont par la suite montré que le ministère de l’intérieur et l’Air Force émiratie avaient bien fait partie des clients du fabricant italien.
Ahmed Mansoor a commencé il y a plus d’une décennie à militer pour la liberté d’expression aux Emirats arabes unis. Il a d’abord suivi et étudié plusieurs cas de violation de ces droits par les autorités, y compris des arrestations, la fermeture de forums de discussion, etc. “Après le Printemps arabe, raconte l’ingénieur, les choses se sont accélérées. Nous sommes passés de violations de la liberté d’expression (...) à des disparitions, de la torture, des procès politiques… En matière de droits de l’homme, nous traversons la pire période de l’histoire des Emirats arabes unis”, lâche le militant.
Lui-même a fait huit mois de prison en 2011 pour des propos tenus contre le président cheikh Khalifa ben Zayed Al Nahyane, s’est retrouvé sans passeport, ni autorisation de travailler. Avant d’être à nouveau arrêté au début de l’année 2017.
Ces dernières années, l’activiste émirati a été la cible de plusieurs attaques informatiques, et sa boite mail a été piratée à au moins deux reprises. “J’ai rencontré Ahmed Mansoor en ligne en 2012, après avoir publié un premier rapport sur FinFisher et des activistes ciblés au Bahrein”, se remémore Bill Marczak. L’activiste a alors communiqué, quelques jours plus tard, des emails qui lui semblaient suspect. En les analysant, le Citizen Lab a réussi à remonter la trace d’un logiciel espion d’Hacking Team.
En août 2016, Ahmed Mansoor a transmis au Citizen Lab un SMS qui lui semblait également suspect. En l’analysant, en collaboration avec l’entreprise spécialisée Lookout, les chercheurs ont alors découvert Pegasus. Le logiciel espion extrêmement sophistiqué de l’entreprise israélienne NSO Group aurait été en mesure de casser la sécurité de l’iPhone de M. Mansoor avec un simple lien, en s’appuyant sur des failles de sécurité extrêmement rares.
Le cas d'Ahmed Mansoor est particulier : la sophistication des outils utilisés pour l'espionner laisse à penser qu'au moins un gouvernement a dépensé une fortune en l'espace de quelques années en logiciels espions, notamment pour s'en prendre à des dissidents politiques, mais l'expérience et la vigilance de ce militant lui ont permis de déjouer de nombreuses attaques.
Le militant émirati a été ciblé par des logiciels espions commercialisés par au moins trois entreprises privées différentes.
Lire aussi
Comment des experts traquent les dérives des logiciels de surveillance
Le travail des chercheurs du Citizen Lab a permis de découvrir des dizaines de militants, journalistes et opposants politiques victimes de logiciels espions. Au Maroc, les journalistes citoyens du site Mamfakinch.com, dont le rédacteur en chef, Hisham Almiraat, très critique du gouvernement, ont été en 2012 la cible de la célèbre suite Remote Control Software, conçue par l’italien Hacking Team.
“La découverte [de cette attaque] était significative, et l’un des premiers cas documentés d’attaques informatiques contre des activistes et des journalistes utilisant des logiciels conçus en Europe”, écrivait Claudio Guarnieri en décembre 2016.
En février 2017, le Citizen Lab a révélé des attaques informatiques contre des chercheurs et citoyens mexicains travaillant dans le domaine de la santé publique. S’appuyant sur le logiciel Pegasus de l’israélien NSO Group, la campagne d’espionnage pourrait avoir servi les intérêts commerciaux d’entreprises vendant des sodas.
Certains cas, comme l'espionnage de militants tibétains, ont montré que cette "artillerie lourde" cyber n'était pas toujours nécessaire, et que certains gouvernements ont recours à des outils moins chers, moins sophistiqués, mais très efficace contre des individus peu sensibilisés.
