Surveillance numérique : les questions gênantes du piratage d'Hacking Team

Copie d'écran d'une vidéo promotionnelle de l'entreprise Hacking Team en 2013
Copie d'écran d'une vidéo promotionnelle de l'entreprise Hacking Team en 2013

L'entreprise italienne Hacking Team, spécialisée dans la commercialisation de logiciels d'espionnage et d'outils de piratage informatique a été elle-même... piratée. Les informations tirées du piratage posent de nombreuses questions sur les activités de cette société qui entretient des liens commerciaux avec des gouvernements. Analyse avec Antoine Champagne, journaliste spécialisé dans la protection des données personnelles et rédacteur en chef du journal en ligne Reflets.info.

dans
400 gigaoctets de données informatiques ont été soustraites à l'entreprise Hacking Team ce lundi 5 juillet 2015. L'entreprise italienne, spécialisée dans les outils de surveillance numérique — et comme son nom l'indique — de logiciels de piratage informatique, voit donc une partie de ses secrets de correspondance et procédés techniques, dont certains plutôt inavouables, étalés sur la grande place publique qu'est Internet.

Que révèlent les correspondances, les logiciels malveillants ou d'intrusion qui ont été volés à l'entreprise italienne ? Les sites spécialisés qui traitent cet énorme volume d'informations pointent plusieurs aspects importants dans cette affaire. Le premier est que l'entreprise Hacking Team a pignon sur rue depuis plusieurs années et est très bien connue des spécialistes du domaine de la sécurité informatique. Son activité est donc parfaitement légale, et couvre avant tout la vente de logiciels d'interception de données, de pénétration de systèmes informatiques via Internet. Une vidéo promotionnelle datant de 2013 met d'ailleurs en avant les services que cette société peut offrir (vidéo en anglais).

Il est malgré tout surprenant, pour le public non averti, de voir s'afficher une publicité vantant les mérites de solutions logicielles permettant d'espionner des centaines ou des milliers de communications pour un pays entier.

Hacking Team effectue, dans cette vidéo, la promotion de Da Vinci, une "suite logicielle" de piratage dédiée aux  interceptions… gouvernementales. Mais de nombreuses correspondances, codes sources piratés donnent matière à réfléchir plus loin encore. On y découvre que des vulnérabilités informatiques sont vendues à des entreprises, permettant de compromettre les systèmes d'information… d'autres entreprises.

Ce commerce peut laisser rêveur, ce qui fait dire à Olivier Laurelli, journaliste-hacker et co-fondateur du journal Reflets : "Si on laissait se développer un système pouvant ouvrir toutes les portes des bâtiments, ou de toutes les voitures, ce serait exactement la même chose que ce que fait Hacking Team."

Techniques dignes des films hollywoodiens

Surveiller, intercepter, se rendre invisible, pénétrer des systèmes, voir à travers les yeux de votre cible sur Internet : toutes ces techniques dignes des films hollywoodiens à suspens sont parfaitement réelles, et vendues par l'entreprise Hacking Team. A des gouvernements, mais aussi à des entreprises, ce qu'a toujours nié la société discrètement spécialisée dans la vente de "vulnérabilités informatiques". Jusqu'à ce que les fichiers piratés démontrent que c'était pourtant bien le cas.

Des questions très gênantes — particulièrement après les révélations d'Edward Snowden sur les pratiques de la NSA — surviennent désormais à la lecture des documents piratés à l'entreprise italienne : A qui sont vendus ces systèmes ? Sont-ils tous vraiment légaux ?  A quelles fins sont-ils utilisés ? Quelles conséquences peut avoir l'utilisation de ces outils par des gouvernements pratiquant la torture. ? Peut-on mettre fin à la vente de ces outils considérés comme des armes numériques ?

Antoine Champagne , journaliste spécialisé dans les problématiques de piratage internet et de la protection des données numériques, rédacteur en chef et co-fondateur du journal d'info-hacking Reflets.info y répond.

En premier lieu, pouvez-vous nous donner une définition de ce qu'est Hacking Team ?

Antoine Champagne :  C'est une société controversée de longue date, puisque c'est un vendeur d'armes numériques. On peut se poser la question de la légitimité de ces ventes, parce que cette entreprise vend des sortes de passe-partout numériques, donc l'équivalent d'outil pour cambrioler n'importe quel ordinateur.

Ça pose question, même si elle n'avait vendu qu'à des services de police et de renseignement parce que ces outils, en gros, leur permettent de venir chez moi, chez vous, sans que vous ne puissiez rien y faire.

On peut éventuellement comprendre l'utilité de ces outils, dans des cas très particuliers, sous le contrôle d'un juge, dans le cadre d'une enquête, pour lutter contre la mafia ou le terrorisme... Là il peut-être utile que les services de police aient besoin d'accéder à un ordinateur par ces moyens. Mais l'utilisation de ces technologies par des services gouvernementaux laisse la porte ouverte à pas mal de choses pas très "joli-joli", comme on dit.

La présomption d'innocence en prend un sacré coup avec ce genre de méthodes, puisque le problème avec Hacking Team ce n'est pas tant de vendre à des services judiciaires, mais de vendre à des Etats et des services de renseignement, qui par principe, sont là pour faire des choses hors du cadre judiciaire.

Ces outils sont vendus au plus offrant à travers le monde. La France a d'ailleurs rencontré des équipes de Hacking Team, non ? On peut imaginer que des services français de renseignement sont équipés de logiciels intrusifs vendus par cette société ?

A.C : Il faut se méfier sur l'histoire de Hacking Team avec la France. Visiblement ça n'a pas été plus loin que des démonstrations. Il y a eu un intérêt certain des services français, à plusieurs niveaux : la DGSE, DGSI et le GIC, le Groupement interministériel de contrôle (organisme français dépendant du Premier ministre, procédant à des écoutes téléphoniques, ndlr). Tous ces services ont démontré un grand intérêt pour les produits de Hacking Team, et ils ont tous eu leur petite démonstration personnelle. Mais visiblement ça n'a pas été plus loin. Il n'y a pas eu de concrétisation.

Mais il faut bien savoir qu'à partir du moment où des salons, des foires d'armement numérique sont organisés, que ces outils sont sur le marché, il est normal que les services de renseignement s'y rendent et se tiennent au courant pour voir les différents outils, rencontrer les différents vendeurs. C'était le cas à l'ISS de Prague (salon dédié à la surveillance et aux systèmes de renseignement numérique dénoncé par Reporters sans frontières, ndlr).

Par contre, la DGSI (renseignement intérieur, ndlr) était une grande consommatrice des armes numériques de la société Vupen (société franco-américaine spécialisée dans la recherche de vulnérabilité informatique et qui compte la NSA comme client, ndlr), et ça c'est un fait.

Mais visiblement, ces outils ont été vendus à des Etats très peu démocratiques, accusés de torture. Que se passe-t-il dans ces cas là ?

A.C : Il y a dû avoir des problèmes légaux, on est en train de vérifier pour le Soudan par exemple, puisque des ventes ont très certainement été effectuées à des Etats à qui Hacking Team n'avait pas le droit de vendre ses outils, à cause de l'ONU.

Mais dans la plupart des cas, ils avaient légalement le droit de le faire avec des Etats notoirement peu ou pas démocratiques. Dans ces situations, le problème n'est pas légal mais éthique.

Quand vous vendez ce genre de choses, des armes numériques, il y a deux solutions : soit vous vous dites "je fais du business, je vends à n'importe qui pourvu qu'on me l'achète", soit vous vous dites "je sais que mes produits peuvent permettre d'arrêter et torturer des gens", donc vous faites très attention aux pays à qui vous vendez. Cette dernière option n'a clairement pas été retenue par Hacking Team, qui a vendu à n'importe qui.

On a notamment repéré des échanges de mails avec l'Ethiopie qui soulignaient que les responsables d'Hacking Team ne se souciaient pas du tout des problèmes de torture qui pouvaient survenir avec l'utilisation de leurs outils, mais de l'incompétence technique des services éthiopiens qui ne cachaient pas assez bien leur activité et donnaient une mauvaise image de l'entreprise. Hacking Team ne s'est pas retiré du marché avec l'Ethiopie, mais ils ont offert des services de formation et une supervision, pour que les activités de surveillance là-bas, qui aboutissaient à des activités contraires au droit de l'homme, ne soient juste plus visibles ! 

Votre journal a démontré en 2011 l'existence de ces ventes d'armes numériques par une société française, Amesys, à Khadafi (lire notre article : "Ecoutes de la NSA : l'indignation française est-elle bien sérieuse ?"). Ces révélations ont permis à la Fédération Internationale des droits de l'homme (FIDH) de porter plainte pour complicité d'actes de torture. Pourquoi est-il toujours possible, 4 ans plus tard, de vendre ces armes numériques à n'importe quel Etat ?

A.C : On reste toujours dans un problème de légalité. Des juristes vous diront qu'il n'y a aucun souci, alors que moralement, c'est contestable. Avec Amesys, c'est le témoignage de gens torturés qui a joué. Ils ont amené la preuve que leur arrestation et la torture qui s'en est suivie avaient été possibles grâce aux outils numériques vendus à Khadafi par Amesys.

C'est à peu près la même chose avec la vente d'armes conventionnelles à des pays comme l'Arabie saoudite. Une question reste à définir : qu'est-ce qu'un Etat vraiment démocratique ? L'Arabie saoudite est membre de l'ONU, et pourtant on décapite des gens au sabre dans la rue. Il y a eu plus de 100 exécutions depuis le début de l'année dans ce pays.

Les défenseurs des droits de l'homme sont tous d'accord pour dire qu'il ne faut pas laisser vendre des armes numériques au Bahreïn, aux Emirats arabes unis, au Qatar, au Yémen, etc. Tout le monde en convient parce que c'est une évidence morale, mais on les laisse faire. Et on les laisse faire avec l'aide et l'assentiment des Etats dans lesquels ces entreprises sont établies.

Dans les mails piratés à Hacking Team on trouve des phrases du type : "comme d'habitude nous allons attendre l'avis du gouvernement [italien]". Et à chaque fois, le gouvernement valide. Pour la France, c'est la même chose. Amesys a vendu ses armes numériques à Khadafi avec l'appui du gouvernement Sarkozy, comme pour Qosmos (une autre entreprise française impliquée en Libye et en Syrie, ndlr).

Mais cela pourrait-il changer, ou bien le commerce de ces armes numériques va continuer, malgré toutes ces révélations ?

A. C : A mon sens, les révélations de Snowden sont tellement énormes, qu'il eut paru impossible à n'importe quelle personne sensée que les choses continuent en l'état. Or, le débat s'éteint, parce qu'il est trop 'feuilletonné' par la presse. Tout le monde oublie, on passe à autre chose.

Avec Hacking Team, on rentre aussi dans une autre problématique : c'est extrêmement technique et peu de journalistes traitent de sujet. Du coup, dans 10 jours, ce sera terminé. Enfin, pas sur Reflets.info parce qu'on va creuser pendant très longtemps, mais dans la presse traditionnelle, j'ai bien peur que ce soit vite oublié.

Ce qui est vrai aussi, c'est que le public ne peut pas se protéger techniquement contre ces menaces technologiques, parce qu'elle sont extrêmement sophistiquées. D'ailleurs, il y a des armes numériques piratées à Hacking Team qui ont été diffusées et c'est un problème : on trouve déjà des chevaux de Troie (virus informatiques permettant à des pirates de s'introduire sur un ordinateur distant, ndlr) un peu partout qui sont utilisés sur des failles inconnues qui ne sont pas encore 'patchées' (corrigées, ndlr). Il va falloir attendre que les éditeurs fassent des mises à jour.

C'est au politique, au final, de réagir, de mettre hors la loi ce genre d'activités ou de les encadrer fortement. C'est en tout cas ce que je pense. Avec en tête, le fait qu'il n'est pas une bonne idée d'interdire tous les outils de hacking, de sécurité informatique en tant que tels, mais plutôt de définir les limites de ce commerce des armes numériques. Tout ce qui est vecteur d'attaques numériques en dehors des tests d'intrusion pourrait être réglementé. Mais comme toute loi, il faut faire attention à ce que ça ne ratisse pas trop large.

On pourrait imaginer que ces outils offensifs ne soient pas autorisés aux entreprises, mais remis entre les mains de l'Etat, avec une brigade spéciale qui ferait ce que fait Hacking Team, par exemple…

Que va devenir Hacking Team à votre avis  après une pareille affaire ?

A.C : Il est assez probable qu'elle disparaisse et renaisse de ses cendres ailleurs. C'est ce qu'a fait Amesys. Le principe est : "on va s'installer dans un pays moins regardant, on change un peu de nom, mais on garde les mêmes employés parce qu'ils travaillent bien".

Mais je pense, quand même, que son business est un peu mal parti, parce que les gens qui achètent ce genre de choses veulent de la discrétion, ne pas apparaître sur la place publique.

Par exemple, l'appel d'offre de la police belge, est tamponné 'secret'. Donc si c'est tellement légal et moralement acceptable d'utiliser ce genre d'outils, je me demande pourquoi il est nécessaire de mettre le mot 'secret' partout. Il y a tellement de données qui circulent aujourd'hui sur les procédés, les clients de cette entreprise, que ça va quand même être très difficile pour Hacking Team de pouvoir rebondir.