S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par Antoine Champagne - kitetoa

Amesys, la DGSE aurait disposé d’une backdoor : quelle nouvelle ! (Non...)

Une backdoor pour quoi faire ?

La DGSE se serait aménagé une backdoor dans les systèmes déployés par Nexa/Amesys pour surveiller ce que les clients faisaient de ces systèmes d’interceptions massives. Drôle de découverte pour qui lit Reflets depuis 2012...

Amesys : une histoire sans fin

Tempête dans Landernau il y a quelques jours. Intelligence Online évoque la « backdoor » (la porte dérobée) que se serait réservée la DGSE, les services extérieurs français, dans le système d’interception massif d’Amesys vendu à Kadhafi. Voici le paragraphe d'Intelligence Online qui a mis le feu aux poudres quand NextInpact a repris l’information : « Ils [trois agents de la DGSE, NDLR] devaient répondre devant la justice, qui apparaît en difficulté sur certains aspects des techniques d'interception : l'un des ingénieurs de Nexa a avoué que le système vendu - tout du moins celui à la Libye - comportait une porte dérobée (backdoor) permettant au service français de suivre ce que les services de Tripoli surveillaient via le système. Les trois se sont retranchés derrière le secret- défense pour ne pas répondre, même si ce point fait figure de secret de Polichinelle. ». Nous sommes en 2022, un petit retour dans le passé s’impose.

Plus de onze ans se sont écoulés depuis février 2011 et notre premier article sur ce qui va devenir le « scandale Amesys ». Des années d’enquête de la Justice plus tard, des centaines d’articles sur Reflets, des centaines d’articles sur d’autres supports de presse, une internationalisation de l’affaire n’y font rien… Tout le monde continue de voir petit dans ce dossier.

Ah bon, la DGSE avait une backdoor ?

Il était temps, mais le dossier est brûlant car cette enquête se voit menée par des gendarmes, historiquement « rattachés » à l'armée. La DGSE étant elle-même sous autorité militaire, un coup de pression entre galonnés n’est pas à exclure. En outre les agents des services extérieurs français peuvent à tout moment se retrancher derrière le confortable « secret-défense ». La recherche de la vérité sera forcément complexe.

Nexa/Amesys est une entreprise importante du complexe militaro industriel. L’État est un bon client. Après des tentatives d’étouffer l’affaire via le parquet, la Justice est finalement saisie. L’affaire somnole un temps et le dossier fait enfin véritable bond en avant quand il est repris en mains par L'Office central de lutte contre les crimes contre l'humanité et les crimes de haine. Les gendarmes donnent un coup de fouet énorme à l’enquête. Les dirigeants Stéphane Salies et Philippe Vannier sont initialement visés. Puis c’est le tour de la société en tant que personne morale.

Mais au fond, Nexa/Amesys n’est qu’un outil au service de la France, comme nous l’avait confié benoîtement l’inénarrable Ziad Takieddine. « Si c’est bon pour la France... », avait-il lâché lorsqu’on l’interrogeait sur la vente du système à Kadhafi et les risques pour les opposants politiques dans ce pays... Derrière Nexa/Amesys, il y a l’État français. Représenté par les proches de Sarkozy alors en poste à l’époque. Puis par François Hollande et ses ministres. Il y a la direction technique de la DGSE qui a soufflé l’idée aux politiques, d’une infrastructure d’interception dont Amesys serait le pivot. Il y a l’écosystème de la sécurité informatique qui a hébergé en son sein Amesys, Qosmos, ou encore aujourd’hui, Ercom, des sociétés dont l’éthique était assez particulière. Bref, il y a beaucoup de monde qui mériterait toute l’attention des enquêteurs ou dont on peut a minima questionner l’éthique.

Depuis le début, nous écrivons que si la DGSE n’avait pas mis en place un accès distant à ces infrastructures, elle n’aurait tout simplement pas fait son travail. Simplement parce que c’est une évidence. L’information relancée par l’article d’Intelligence Online et reprise ensuite par NextInpact ne nous a évidemment pas surpris. Ce qui est intriguant, c’est la vision étriquée que les observateurs peuvent avoir de cette « backdoor ».

Intelligence Online cite un des développeurs de Nexa/Amesys, lequel aurait avoué que le système vendu à la Lybie comportait une backdoor « permettant au service français de suivre ce que les services de Tripoli surveillaient via le système ». Le premier agent de la DGSE s’est retranché derrière le « secret-défense ». En d’autres termes, il n’a pas confirmé cette hypothèse.

Ce qui est en revanche certain, et nous le soulignions déjà il y a plusieurs années, c’est que les développeurs avaient un accès distant sur le système en Lybie depuis leurs locaux de Boulogne-Billancourt. Tout ceci est dûment acté dans la procédure et nous en avions parlé, notamment en 2017 et en 2020. Et à l'évidence, la DGSE était bien présente tout au long de la mise en place de ce projet : ce sont d'ailleurs les dirigeants de Nexa/Amesys qui le disent. Ceci est également acté en procédure. De là à ce que la DGSE ait pu profiter de cet accès distant…

Mais si la DGSE est la moitié de ce qui est décrit dans le documentaire « Le bureau des légendes », il faut voir plus grand. Une backdoor pour savoir uniquement ce qui se passe en Libye alors qu’il est possible de faire tellement plus ?

La théorie abracadabrantesque de Reflets

En novembre 2011, nous écrivions que les outils déployés par Nexa/Amesys pourraient fort bien servir pour intercepter des communications ailleurs que chez les clients de la SSII comme la Lybie… C’est la fameuse théorie abracadabrantesque que nous avons affinée au fil des années et qui peut se résumer ainsi : et si ?

Et si la DGSE/DRM/État avaient imaginé de « délocaliser » les interceptions comme une entreprise délocalise son centre d’appels vers un pays moins regardant sur le code du Travail ? Ici, les outils de Nexa/Amesys (mais il y a bien d’autres candidats, comme Ercom) pourraient très bien être utilisés (techniquement parlant) par les services français pour déclencher des interceptions qui ne seraient évidemment pas soumise au droit français, avec en prime un fabuleux argument de « déni plausible » : « Spanous… Say les Lybiens, l’Arabie Saoudite, le Gabon, whatever… ».

Lorsque vous suivez les liens dans cet article, il convient de regarder la date de publication. Ces sujets, nous les avons évoqués quasiment dès le début de l’affaire Amesys que nous avons révélée.

Nous avons publié plus de 300 articles qui mentionnent ce fleuron français de l’interception de données des opposants politiques. Plus qu’aucun autre journal. Jamais nous n’avons eu de procès en diffamation.

Peut-être parce que nous avons toujours dit que nous serions ravis d’apporter nos cartons de documents sur Amesys dans une procédure, forçant ainsi la Justice à élargir ses investigations ? Même si nous les publions avec parcimonie, nous disposons évidemment de preuves pour chaque point que nous avançons dans nos articles depuis 2011. Par exemple, nous avons publié le contrat concernant le Maroc (Popcorn) en juin 2021 alors que nous avions dévoilé ce projet de Nexa/Amesys en novembre 2011. Le Maroc avait poursuivi des militants des droits de l’Homme qui avaient évoqué ce deal et nié qu’il ait eu lieu…Ce qui était à peu près aussi stupide que lorsque Bruno Samtmann, le directeur commercial d'Amesys, avait expliqué à la télé que le système servait à traquer des pédophiles en Lybie...

Voir en 2022 des gens continuer à mettre en doute nos révélations et nos analyses sur Amesys, comme cela a encore été le cas à la suite de la publication d’Intelligence Online, c’est épuisant. Nous faisons un travail journalistique et nous basons nos affirmations sur des documents ou des entretiens avec des sources identifiées… Des évidences que nous sommes pourtant obligés de trop régulièrement rappeler dans ce dossier.

1 Commentaire
Une info, un document ? Contactez-nous de façon sécurisée