Journal d'investigation en ligne et d'information‑hacking
par Rédaction

Qosmos, raconte-nous une histoire (de protocoles)

Se construire une image..., tout un programme pour une entreprise. Le scandale Amesys a poussé les acteurs du Deep Packet Inspection à revoir leur communication. Pour Amesys, cela a consisté à "vendre" son activité d'écoute des réseaux à un actionnaire de la holding détenant Bull et Amesys, histoire de sortir cette activité du "périmètre" de Bull et d'Amesys. Pour Qosmos, dont c'est le seul véritable métier, la donne était plus compliquée.

Se construire une image..., tout un programme pour une entreprise. Le scandale Amesys a poussé les acteurs du Deep Packet Inspection à revoir leur communication. Pour Amesys, cela a consisté à "vendre" son activité d'écoute des réseaux à un actionnaire de la holding détenant Bull et Amesys, histoire de sortir cette activité du "périmètre" de Bull et d'Amesys. Pour Qosmos, dont c'est le seul véritable métier, la donne était plus compliquée. Depuis des mois, son PDG Thibault Bechetoille construit patiemment et  sûrement une nouvelle image pour sa société. Selon la nouvelle légende officielle, Qosmos ne fait pas d'écoute massive à l'échelle d'une nation, elle fait de la mesure d'audience et de la gestion de flux dans le secteur des télécoms.

Oui, mais non.

Aujourd'hui, Reflets est en mesure d'expliquer que les sondes de Qosmos sont capables d'identifier des cibles, qui, vous allez le comprendre, n'ont absolument aucun intérêt pour la mesure d'audience ou la gestion des flux chez un opérateur...

Qosmos, une vieille connaissance...

Qosmos est un grand habitué des pages de Reflets. Cette société française est connue pour être l'un des fleurons technologiques de l'hexagone, mais un fleuron dual. L'un de ses fleurons dont on en est encore à se demander si l'on doit en être fier ou sur lequel on doit émettre certaines réserves. Au coeur des interrogations : les métiers de Qosmos.

Pionnière de l'inspection en profondeur de paquets, Qosmos a su se hisser dans le peloton de tête des marchands d'armes numériques. Une stratégie que l'entreprise dit avoir abandonnée au profit de secteurs moins critiquables d'un point de vue éthique. Comprendre l'inspection en profondeur de paquets, c'est comprendre les différentes applications de cette technologie, et donc comprendre les différents métiers de Qosmos.

Quand Reflets a commencé à s'intéresser au marché de la surveillance électronique, le nom de Qosmos est revenu très fréquemment. Même si son PDG Thibault Bechetoille nous assurait par exemple que son coeur de métier était la médiamétrie, nous avions du mal à envisager que nous ne retrouverions pas les technologies de Qosmos au coeur de systèmes de surveillance électronique à l'échelle d'une nation.

Nos craintes se sont rapidement confirmées, elles venaient contredire les déclaration de monsieur Bechetoille qui assurait ne pas vendre ses produits à des Etats. Un mensonge par omission car la technologie de Qosmos est intégrée par des entreprises tierces dans ces systèmes de surveillance massive. Ainsi, on retrouvait Qosmos en 2011 au coeur du projet ASFADOR, au sein d'un consortium le liant à l'allemand UTIMACO et à l'italien AreaSPAS. Alors même que Thibault Bechetoile martelait que ses produits n'étaient pas destinés à la surveillance de masse, l'un de ses ingénieurs se trouvait alors en Syrie aux côtés d'Utimaco pour apporter l'expertise française en matière d'interception de masse au régime de Bachar al Assad.

L'épisode troublant du LIP6

Un peu plus tard, Reflets publiait un enregistrement des propos d'Eric Horlait, co-fondateur de Qosmos, venu expliquer aux chercheurs du LIP6 pourquoi et comment leurs emails se retrouvaient dans la proposition commerciale du projet Homeland Security d'Amesys à destination de la Libye de Kadhafi. Là encore nous soulignions le décallage entre les propos de Monsieur Bechetoile et ceux d'Eric Horlait, bien plus explicites, sur les activités de Qosmos :

« Le marché sur lequel vit Qosmos est celui que l’on appelle « L’interception légale » – l’interception légale c’est un marché qui s’est développé pour tout un tas de raisons, qui permet de construire des équipements qui écoutent ce qu’il se passe sur un réseau. Une partie du business de Qosmos c’est cette écoute qui a été vendue – j’ai moi même installé en Espagne chez Telefonica un opérateur que tout le monde connaît en Espagne, qui s’en sert pour faire de la facturation internet sur les mobiles (…) un autre exemple très connu en France c’est Médiamétrie (…) et avec la technologie Qosmos ils ont embarqué dans les décodeurs une technologie qui [repère qui regarde quoi] à partir des décodeurs (…) voilà des exemple d’application des technologies Qosmos.Et puis il y a l’écoute légale, l’écoute légale, c’est répondre soit à des appels d’offre, soit à des commandes, soit à un certain nombre d’activités d’agences de renseignement pour leur fournir des outils qui leur permettent de développer des outils qui répondent à un certain nombre de leurs besoins pour exercer leur métier.

[...]

Dès qu’on parle de ce genre de marchés, ce genre de marchés a une petite spécificité. Entre autre chose, moins on parle des acteurs, plus on est content.

[...]

Question : Dans ce cas là on peut dire que la frontière est un peu floue entre démocratie et dictature, mais est-ce que Qosmos travaille ou pourrait travailler pour les RG Français ? Par exemple. Et si elle l’a fait, est ce que ce serait couvert par un secret ? _EH : écoutez mes propos, vous aurez la réponse. C’est un problème de déchiffrage, hein, c’est pas très compliqué. Encore une fois, des contrats de déontologie, c’est difficile, il y a un moment ou plus de dix fois sur quinze, c’est mauvais, ou alors c’est bien… on sait pas. La déontologie, c’est quelque chose qui se passe très très vite. Oui, je ne sais pas répondre.__ Le deuxième point, c’est que quand je vous ai dit que Qosmos avait une déontologie sur le sujet, c’est que chaque fois qu’on a eu connaissance du client, on a la liberté de cette analyse, à l’époque, la structure de décision c’était le conseil de direction dans lequel il y avait un certain nombre de personnes, dont moi et d’autres fondateurs, et on discutait de chacune des affaires et on disait ‘on y va’ ou ‘on y va pas’… bon… il y a des affaires sur lesquelles on est pas allés, connaissant le client final. Je ne vais pas parler de la Libye parce que nous n’avons jamais eu connaissance de la Libye comme potentiel client final, ni Qosmos en direct, ni la technologie Qosmos._En revanche, il y a d’autres pays où on avait connaissance de la façon dont notre technologie pourrait être utilisée et on a dit non. Et il y a certainement des pays où la technologie est utilisé et où le niveau de démocratie est – dans l’esprit de chacun d’entre nous autour de cette table – tout à fait insuffisant.

[...]

Et à un moment donné, quand vous développez des technologies de ce type là…Je suis certain, un jour ou l’autre, peut être passé, peu être futur, que les technologies de Qosmos se retrouveront dans des usages parfaitement critiquables, sur le plan déontologique. Est ce que c’est une raison suffisante pour ne pas développer cette société, je n’en sais rien.

Il y a quelques semaines, c'est Wikileaks qui enfonçait le clou en publiant un whitepaper on ne peut plus explicite sur la nature de certains travaux de Qosmos. On parle bien d'interception "légale", pour "un pays entier", à 550Gbps. Mais puisqu'on vous dit que c'est grand public !!!

Dans une interview aux Echos parue le 14 octobre 2013, Thibaut Bechetoille explique benoîtement :

« Il  y a deux ans, nous avons décidé de  sortir du marché dit de  l'interception légale indirecte, car le DPI est  une technologie duale et  sensible, qui pose de vraies questions  juridiques et éthiques. Nous avons perdu d'un coup 20 % de notre chiffre d'affaires. »

Oh, le beau storytelling...

Reflets dispose aujourd'hui de nouveaux éléments nous en apprenant beaucoup sur le coeur applicatif de sa solution, sur son fonctionnement et les cibles constituant le champ opérationnel de ses sondes, qui servent à classifier et intercepter le trafic Internet.

Sur Internet, les applications communiquent par le biais de protocoles, ces protocoles sont autant de modes opératoires décrivant comment une communication va s'établir. On envoie une requête, on reçoit une réponse. Il existe différents moyens de reconnaître un protocole, et de reconnaître qu'un internaute a accédé à tel ou tel service, ou à tel ou tel site Web. Ces protocoles peuvent être regroupés par grandes familles. Par exemple pour les mails, on reconnaîtra les protocoles permettant de recevoir des emails (POP, IMAP, IMAPS...) ou d'envoyer des emails (SMTP, SMTPS...). Pour les protocoles web, on reconnaîtra plutôt des certificats SSL, ou tout simplement le nom de domaine. Onpourra également corréler différentes métadonnées pour identifier un protocole.

Le coeur de métier de Qosmos est donc de reconnaître un maximum de protocoles afin de pouvoir :

  • le classifier : ce qu'on appelle du QoS (Quality of service) pour donner la priorité à un protocole critique sur tel ou tel autre jugé moins critique, pour une utilisation donnée (par exemple limiter le trafic P2P en entreprise). Cette technique peut très utile pour les FAI qui souhaitent prioriser des flux selon leurs clients. Par exemple, une chaîne de télévision qui voudrait que son flux arrive de manière parfaite sur les box de ses abonnés.
  • L'intercepter : utile dans le cadre d'interceptions légales, massives ... ce que vous voulez (qu'est-ce que de l'interception "légale" dans un pays comme la Syrie ?).
  • Le bloquer : par exemple idéal pour un opérateur 3G qui souhaiterait, au hasard, bloquer la VOIP sur son réseau).
  • Mesurer une audience
  • ...

Evidemment, on se demande assez naturellement ce que Qosmos sait reconnaître, comment il le reconnaît, et dans quel but. C'est justement à ces questions, sans réponse officielle, que nous allons vous apporter quelques  éléments de réponses.

Quand Thibault Bechetoille affirme que son logiciel n'est qu'une brique, on le croit volontiers. C'est quand on se penche sur les protocoles, vendus aux clients par la société sous formes de "plugins" (lesdites briques), que l'on commence à se gratter la tête.

  • Quel genre de client chercherait à reconnaître le trafic du Wall Street Journal China et non le Wall Street Journal US ?
  • Quel genre de client chercherait à reconnaître, intercepter ou bloquer les grands services mondiaux de messageries (Gmail, Hotmail, Yahoo, QQ...) ?
  • Quel genre de client chercherait à reconnaître, intercepter ou bloquer les protocoles de messagerie instantanée ?
  • Quel genre de client chercherait à reconnaître, intercepter ou bloquer les traffic vers certains sites web assez choisis comme Skyrock, Bloomberg, Reuters, TF1, Mozilla, Nike, Debian, Mandriva, ou OpenBSD Updates en utilisant différentes techniques de reconnaissance ?
  • Quel genre de client chercherai à reconnaître le trafic issu de sites comme Gays.com et dans quel but ? Rechercher des terroristes homosexuels ?
  • Quel genre d'entreprise souhaiterait reconnaître ou bloquer le trafic concernant Aljazeera, AmericanExpress, Baidu, Baofeng.com, Blackplanet.com, Drupal, Wordpress ?
  • Quel genre de client souhaiterait reconnaître le trafic issu de sites comme Adultfriendfinder, Redtube, Youporn... et dans quel but ? Bloquer l'accès à ces sites en entreprise ? Offrir à une solution de contrôle parental un système de classification plus fiable que les ridicules whitelists et blacklists d'un Optenet ?

Chez Reflets, nous avons par exemple un peu de mal à nous imaginer que Qosmos soit soucieux de garantir à ses clients une bonne qualité de service à l'accès aux updates d'OpenBSD ou un stream fluide sur Youporn... mais peut-être avons-nous un mauvais esprit.

Une autre interrogation concerne cette passion que Qosmos semble vouer à la Chine. Mais il y a peut-être d'éminents sinologues chez Qosmos. Nous avons sûrement très mauvais esprit.

Autre explication, Qosmos veut vendre ses équipements, du matériel "grand public"  comme l'ont répété successivement Gérard Longuet et Laurent Fabius à l'Assemblée Nationale, aux 500 plus grosses fortunes chinoises. Histoire de décorer son salon, une solution Qosmos, c'est tellement chic... ixEngine, en 2013, c'est hipster. Ce qui expliquerait pourquoi une brique de Qomsos permet d'écouter le trafic lié au site Fortunechina ?

Plus intéressant maintenant, pour les personnes qui se demandent comment un pays, prenons au hasard l'Iran, arrive à bloquer TOR... sachez que Qosmos reconnaît ce protocole par pattern matching (filtrage par motif) : les sondes reconnaissent des séquences propres à la manière dont Tor communique et le dispositif bloque alors le trafic de la communication dans laquelle elle reconnaît les séquences.

On n'arrête pas le progrès...

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée