Info

Comment Pékin espionne 200 millions de citoyens, aidé par des firmes américaines

La régulation des télécommunications chinoise autorise le filtrage d'internet ou la surveillance par mots-clés des requêtes mais n'autorise pas <em>normalement </em>l'inspection <em>des contenus de communication</em> des utilisateurs. La plateforme Aegis de surveillance de masse qu'utilise le gouvernement chinois est donc hors-la-loi. 
La régulation des télécommunications chinoise autorise le filtrage d'internet ou la surveillance par mots-clés des requêtes mais n'autorise pas normalement l'inspection des contenus de communication des utilisateurs. La plateforme Aegis de surveillance de masse qu'utilise le gouvernement chinois est donc hors-la-loi. 
 (Smartphone chinois : AP Photo/Andy Wong)

Une enquête du magazine en ligne The Intercept dévoile la mise en œuvre d'un système gouvernemental d'écoute et de traque en temps réel du quart des citoyens chinois connectés à Internet. Ce système a été développé et mis en place par Semptian, une entreprise chinoise qui collabore avec au moins deux grandes firmes technologiques américaines : IBM et Xilinx. Mais Semptian vend aussi ses sytèmes d'espionnage à des régimes autoritaires du Moyen-orient et d'Afrique du Nord. Explications.

L'espionnage et la surveillance de masse des populations par leurs gouvernements ont de beaux jours devant eux avec les technologies développées par l'entreprise chinoise Semptian. Des technologies revendues par une "société vitrine" (appartenant au même dirigeant) : iNext. Semptian — créée en 2003 — a en effet réussi à développer des systèmes d'écoutes, d'espionnage et de censure, tant matériels que logiciels, à des échelles, qui — jusque là — semblaient encore difficilement atteignables. Le magazine en ligne The Intercept (créé par les journalistes Greenwald et Poitras ayant révélé l'affaire Snowden) vient de dévoiler la plateforme mise en place par Semptian à la demande du gouvernement chinois : des matériels et logiciels permettant de suivre à la trace 200 millions de citoyens chinois connectés, d'aspirer les mails, textos ou toute autre donnée de leurs terminaux informatiques . Ce nombre de 200 millions a été donné aux journalistes de The Intercept par un employé de l'entreprise.

Dans de nombreux cas, il semble que le système puisse collecter l'intégralité du contenu d'une communication, telle que l'enregistrement audio d'un appel téléphonique ou le corps écrit d'un message texte (…)
Extrait de l'article de The Intercept, par Ryan Gallagher : "How U.S tech giants are helping to build China's surveillance state" — "Comment les géants américains de la technologie aident la Chine à créer une société de surveillance".

Les capacités de traitements informatiques massifs de cette infrastructure ont été possibles grâce à la collaboration d'au moins deux entreprises américaines de technologie de pointe : Xilinx et IBM. Et potentiellement Google…

Aegis : géolocaliser; écouter et aspirer les données de n'importe qui

Le système phare et "tout-en-un" de Semptian — vendu par iNext—, s'appelle "Aegis". Ce système permet non seulement d'intercepter des données mais aussi de surveiller ou censurer en temps réel des réseaux filiaires ou hertziens (Internet fixe ou mobile). Le tout est livré avec des alarmes et des outils d'analyses, des fonctions pour bloquer des accès à certaines parties d'Internet ou même bloquer des utilisateurs spécifiques, localiser les personnes et les suivre à la trace, ainsi que de procéder à de l'analyse prédictive pour la "prévention du crime". (Plaquette de présentation d'Aegis, mise en ligne par The Intercept)
Copie d'écran de la Page 2 de présentation du système d'écoute, de censure et d'espionnage numérique "Aegis".
Aegis est mis en avant par iNext/Semptian comme un système capable de "stocker et analyser des données de façon illimitée" et qui peut fournir "une vue complète du monde virtuel", permettant ainsi aux espions du gouvernement de "voir les connexions de chacun", y compris "des informations de localisation de n'importe qui dans le pays". Une vidéo de démonstration publiée par The Intercept (en milieu d'article) démontre jusqu'à quel point Aegis est simple d'utilisation tout en permettant de violer la vie privée des citoyens avec une facilité déconcertante : à partir d'un simple numéro de téléphone, un compte de réseau social, une adresse électronique, il est possible de suivre le déplacement de la personne en temps réel sur une carte… et bien plus encore, comme l'explique le journaliste de The Intercept : "Dans de nombreux cas, il semble que le système puisse collecter l'intégralité du contenu d'une communication, telle que l'enregistrement audio d'un appel téléphonique ou le corps écrit d'un message texte, et pas uniquement les métadonnées, qui montrent l'expéditeur et le destinataire d'un courrier électronique, mais aussi les numéros de téléphone d’une personne appelée avec les horaires exactes des appels. La capacité du système à accéder à l'intégralité du contenu d'un message dépendra probablement de la protection ou non du terminal par un chiffrement renforcé".

IBM, Xilinx et… Google ?

Semptian est membre de la fondation OpenPower, lancée en 2013 par IBM. Cette organisation à but non lucratif réunit des industriels de l'informatique pour "créer un écosystème ouvert en utilisant l’architecture POWER (d'IBM, ndlr) afin de partager le savoir-faire, les investissements et la propriété intellectuelle au sein de l'industrie des serveurs [informatiques] pour répondre aux besoins en constante évolution des clients et du secteur." OpenPower a plus de 140 membres, dont… Google pour la partie logicielle : 

Avec le savoir-faire de Google en matière de machine learning — particulièrement  dans le développement de logiciels prédictifs — la firme californienne pourrait donc être impliquée dans la conception d'Aegis. Contactés par The Intercept, aucun des responsables de Google n'a souhaité répondre.

La fondation OpenPower ne s'implique pas et ne cherche pas à être informé des stratégies, objectifs ou activités individuelles de ses membres.
Communiqué de la fondation OpenPower à propos de la participation de ses membres aux systèmes de surveillance de Semptian

Les matériels utilisés par Semptian ne peuvent pas parvenir à traiter en temps réel les données de 200 millions d'utilisateurs s'ils sont équipés de processeurs standards. C'est pourquoi l'entreprise chinoise est en partenariat avec Xilinx, une firme américaine spécialiste de l'assemblage de semi-conducteurs depuis 1984. Les cartes "d'accélération processeurs" des matériels de surveillance de Semptian sont donc des des cartes… Xilinx. Cette entreprise n'a pas non plus souhaité répondre aux questions de The Intercept

Restent les responsables d'OpenPower et d'IBM. Pour les premiers, un communiqué de la fondation a déclaré que celle-ci "ne s'implique pas et ne cherche pas à être informé des stratégies, objectifs ou activités individuels de ses membres". Quant à IBM, un porte-parole de la firme a fait savoir que sa société "n'a pas travaillé avec Semptian sur le développement de technologies conjointes", mais a refusé de répondre à d'autres questions.
 

Aegis a été vendu à d'autres pays que la Chine, au Moyen-Orient et en Afrique du Nord et couvre l'ensemble de chaque pays concerné.Un employé de Semptian, répondant par mail à un journaliste de The Intercept

Quoi qu'il en soit, le système de surveillance des 200 millions de citoyens chinois connectés, dépend d'un fabricant de matériels informatiques américain, Xilling, et de développements techonologiques d'entreprises américaines, IBM en tête, comme Semptian s'en vante sur son site : "Nous travaillons désormais activement avec des sociétés de classe mondiale telles qu'IBM et Xilinx, ainsi que des partenaires industriels connexes, afin de créer une chaîne industrielle et une écosphère [technologique]."

Systèmes d'espionnages et de surveillance vendus au Moyen-Orient et en Afrique du Nord

Semptian a développé trois autres systèmes d'espionnage et de surveillance, en plus d'Aegis :  Owlet (interceptions des communications GSM pour les téléphones mobiles), HawkEye (reconnaissance faciale), et Falcon (Un "IMSI Catcher" et traqueur de mobile : une "valise" permettant de suivre des usagers à la trace et d'espionner leurs conversations en se faisant passer pour une antenne-relai 2G/3G/4G).

Tous ces outils sont vendus à des gouvernements, principalement à des services de sécurité gouvernementaux au Moyen-Orient et en Afrique du Nord, comme un journaliste se l'est fait confirmer par courrier électronique, alors qu'il prétendait être un client potentiel : "Le système de surveillance de masse Aegis a été vendu à d'autres pays que la Chine" écrivait alors l'employé de Semptian, qui a confirmé au journaliste qu'"Aegis couvre l'ensemble [de la population] de chaque pays concerné". L'employé a  malgré tout refusé de citer les pays concernés, arguant que, "le système [Aegis] étant extrêmement sensiblenous sommes soumis à un accord très strict de confidentialité sans divulgation". 

La surveillance numérique de masse à l'échelle d'une nation est connue depuis 2011 avec les révélations des  affaires Amesys et Qosmos. Ces deux entreprises françaises ont vendu des systèmes similaires à celui de Semptian, respectivement à la Libye de Khadafi et la Syrie d'Assad. Tous étaient basés sur le "Deep Packet Inspection" ou DPI : une technologie française conçue à l'origine au sein d'un projet universitaire lancé par trois professeurs de l’Université Pierre et Marie Curie, en 2000.  Amesys est poursuivie pour complicité de torture après que son système de surveillance "à l'échelle d'une nation" eut été découvert en Libye, quand Qosmos est elle soupçonnée d'avoir vendu sa "solution DPI" à Bachar El Assad…

Etrangement, si ces deux pays — comme leurs voisins dans la région — n'ont aucune législation pour restreindre ce type de technologies "d'inspection du contenu des communications", il n'en est pas de même en Chine : L'article 66 de la "Régulation de télécommunications de la République populaire de Chine", promulguée en 2000, stipule que : "La liberté et la vie privée des utilisateurs légaux des télécommunications sont protégées par la loi. Aucune organisation ou personne ne peut inspecter le contenu des communications pour n'importe quelle raison."