La surveillance de masse en ligne : un phénomène de grande ampleur ?
Un groupe de chercheurs a découvert 25 pays qui pourraient avoir recours aux outils d’espionnage en ligne de l’allemand Gamma International GmbH, outils déjà mis en lumière par la chute d’Hosni Mubarak il y a deux ans. Des pays déjà dans la ligne de mire des défenseurs des droits de l’homme, mais également des démocraties tout ce qu’il y a de respectable.
Ils ont trouvé des serveurs de contrôle et de commande du logiciel espion FinSpy dans 25 pays : Australie, Bahrein, Bangladesh, Brunei, Canada, République Tchèque, Estonie, Ethiopie, Allemagne, Inde, Indonésie, Japon, Lettonie, Malaisie, Mexique, Mongolie, Pays-Bas, Qatar, Serbie, Singapour, Turkménistan, Emirats Arabes Unis, Royaume-Uni, Etats-Unis et Vietnam. FinSpy, c’est le logiciel espion de la solution de surveillance et d’écoute électronique FinFisher, développée par l’allemand Gamma International. Début mars 2011, F-Secure avait publié des documents qui auraient été récupérés au ministère égyptien de la sécurité d’Etat et intégrant un devis de Gamma International pour le déploiement de FinFisher. L’avocat de l’entreprise avait alors assuré que celle-ci n’avait jamais vendu sa solution au gouvernement égyptien. Les chercheurs à l’origine de la découverte de ces serveurs - au nombre de 36 - sont Morgan Marquis-Boire - qui intervenait lors de l’édition 2013 du FIC, à Lille, fin janvier -, Bill Marczak, Claudio Guarnieri et John Scott-Railton. Ils viennent de publier les derniers résultats d’une enquête menée pour la Munk School of Global Affairs de l’Université de Toronto. Une récidive, en quelque sorte, puisque déjà l’été dernier, ils avaient publié leurs découvertes sur l’utilisation de FinFisher pour l’espionnage d’activistes du Bahrein, puis l’analyse de versions mobiles de FinSpy. Toutefois, comme l’indiquent les chercheurs, « Gamma a réfuté à plusieurs reprises tout lien avec le logiciel espion et les serveurs étudiés, assurant que ces serveurs ne font pas partie de sa gamme de produits. » Selon l’éditeur, certains utiliseraient même des versions de FinSpy dérobées à l’occasion de démonstrations.
ISS World, le rendez-vous des spécialistes des technologies du renseignement
Certains spécialistes de l’IT ont manifestement bien identifié le potentiel commercial de leurs solutions sur le marché du renseignement et de la sécurité nationale. Si Trovicor était le principal sponsor de la dernière édition d’ISS World pour la région Moyen-Orient et Afrique - avec un atelier très explicitement intitulé « comment gérer la surveillance de masse d’Internet et des réseaux IP » - d’autres spécialistes des interceptions et écoutes apportaient leur contribution, comme Advanced Middle East Systems, Aqsacom, ClearTrail, le groupe ATIS, Gamma International, Hacking Team, NeoSoft AG, ou encore le français Vupen. Mais l’événement permet aussi de découvrir un autre visage d’acteurs connus comme Sophos, avec sa filiale Utimaco, ZTE, avec sa filiale ZTEsec, ou encore Nuance qui présentait une « démonstration en direct des capacités d’alerte temps réel rendues possibles par la biométrie et les technologies vocales », ou encore l’adaptation de ses solutions à l’interception audio.Ce qui n’empêche pas Reporters Sans Frontières d’identifier Gamma comme l’une des « 5 entreprises ennemies d’Internet », ou « mercenaires de l’ère digitale », aux côtés de Trovicor, Hacking Team, Amesys et Blue Coat, dans un « recensement non exhaustif appelé à s’allonger dans les prochains mois ». Selon l’organisation, « leurs produits ont été ou sont utilisés par les autorités pour commettre des violations des droits de l’homme et de la liberté de l’information ». Et RSF d’appeler à « la mise en place d’un contrôle de l’exportation de technologies et matériel de surveillance vers des pays qui bafouent les droits fondamentaux. » Une demande qui résonne en écho à celle, comparable, des chercheurs ayant étudié FinFisher.
Le Big Data de la surveillance
Reste qu’en pointant régulièrement les activités de Gamma International, ou encore de Trovicor, d’Amesys ou de BlueCoat, les chercheurs et les défenseurs des libertés individuelles ne touchent qu’à la partie la plus visible de l’iceberg. Fin avril 2011, nous relevions l’importance des systèmes analytiques pour l’exploitation des données captées. À l’époque, un spécialiste du décisionnel était allé jusqu’à nous indiquer : « Trovicor, je ne trempe pas là-dedans. » Avant de reconnaître que la collecte et l’analyse de données de surveillance en masse est non seulement possible mais parfois mise en place « avec des partenaires ou des clients, lorsque la législation locale l’autorise. [...] Techniquement, il n’y a pas de limite. »
Et la récente édition du salon ISS World pour la région Moyen-Orient et Afrique, dédié aux « systèmes de support du renseignement pour l’interception légale », qui se déroulait à Dubaï début mars, suffit à mesurer l’intérêt du sujet : une série entière de sessions était consacrée aux systèmes de support pour « l’analytique Big Data des interceptions et la surveillance des réseaux sociaux. » Avec des sessions où l’on retrouvait SAS, mais aussi Trovicor, Esri, Gamma Group ou encore le français AMI Software qui, sur son site, souligne notamment son savoir-faire en matière « d’algorithmes prévus pour traiter de très gros volumes de données avec des temps de réponse très bas. » Et si la nature générique de certains outils peut laisser planer le doute, on relèvera avec ironie que SAS, qui avait participé fin 2009 à un atelier avec Trovicor et Teradata, présentait à ISS World sa solution SAS Social Media Analytics comme un outil « opérationnel pour les organisations de sécurité publique » tandis qu’il est référencé, sur son site Web, dans la catégorie « Expérience Client ». Avec un peu plus de franchise, la filiale Detica de BAE Systems, également présent à ISS World, ne cache pas la dualité de ses solutions.