Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Ethiopie : le révélateur de l'éthique de Hacking Team

L'éthique d'un vendeur d'armes, soient-elles numériques, est toujours un sujet de discussion sans fin. Depuis sa naissance, Reflets s'oppose vigoureusement, à grand coups d'articles, à la longue liste de ces commerçants d'un genre nouveau. Les raisons sont variées, mais on peut en citer quelques unes. La première est que de tels outils ont tendance à détruire les concepts de base de la Démocratie.

L'éthique d'un vendeur d'armes, soient-elles numériques, est toujours un sujet de discussion sans fin. Depuis sa naissance, Reflets s'oppose vigoureusement, à grand coups d'articles, à la longue liste de ces commerçants d'un genre nouveau. Les raisons sont variées, mais on peut en citer quelques unes. La première est que de tels outils ont tendance à détruire les concepts de base de la Démocratie. Ces armes sont utilisées pour espionner les opposants dans les pays fâchés avec les Droits de l'Homme, avec une puissance jamais atteinte jusqu'ici. Mais tout ça, ce sont des concepts qui s'appuient sur une éthique. Et cette éthique là n'est visiblement pas partagée par Hacking Team. L'accès aux mails des salariés de l'entreprise italienne permet de se faire une idée de ce qu'est l'éthique qu'elle vante à tour de bras. Lorsqu'un journaliste interroge l'inénarrable Eric Rabe (chargé des relations avec la presse), il répond invariablement la même chose. En résumé : nous vendons à des pays ou des forces de l'ordre, nous respectons la loi, si nos outils sont mal utilisés, par exemple pour espionner des opposants politiques, nous avons une procédure pour mettre fin au contrat. Laissant ainsi croire que l'entreprise le ferait par éthique, pour que ses produits ne servent pas à violer les Droits de l'Homme.

En fait il n'en est rien. Et un échange de mails que nous allons vous exposer ci-dessous le démontre.

Le 9 mars 2015, Citizen Lab publie une étude sur l'usage des armes de Hacking Team par l'Ethiopie. Le réquisitoire est salé. Ce pays a utilisé le Remote Control System (RCS) de Hacking Team pour espionner un journaliste aux Etats-Unis. Et selon Citizen Lab, Hacking Team a continué de vendre son spyware à l’Éthiopie, bien après que cette affaire soit révélée.

Mauvaise image et risques de procès

Le 19 mars 2015, la discussion s'engage au sein de Hacking Team. Sont-ils abasourdis par le mauvais usage de leur outil de la part de l'Ethiopie ? Oui. Mais pas pour les mêmes raisons que Citizen Lab. Il le sont parce que c'est dangereux pour leur business. Cela donne une mauvaise image de leur produit qui a été repéré par les défenseurs des Droits de l'Homme et cela pose un risque judiciaire.

Mieux, l'équipe de Hacking Team se lamente. Ces Éthiopiens sont vraiment des buses en technique et ont tout fait foirer... Il faut soit arrêter le contrat, soit les prendre par la main et les aider à mieux réaliser leurs opérations d'espionnage... A aucun moment, un intervenant n'évoque l'utilisation indue de ces armes. Ce n'est pas une bavure sur un plan humain (l'espionnage d'un journaliste opposant), c'est une bavure technique.

Voici donc l'échange (en anglais). Le début de la discussion se trouve en fin d'échange. La dernière réponse est au début. Elle vient de Eric Rabe :

Whether guilty of “human rights abuses,” a client like this gives us not only operational exposure that could negatively impact future sales, but also legal exposure. (FinFisher right now is the subject of a legal case in Pakistan.)  So option #1 provides the most protection for H.T.  We would at least have the defense that, once aware of the behavior, we moved to stop it.  While option 2 might be possible, it is hard for me to see how we could be assured of  successful outcome.  Especially true since this is now a second case of their ineptitude, so they remain worrisome.

Eric

On Mar 20, 2015, at 1:43 PM, Giancarlo Russo <g.russo@hackingteam.com> wrote:

I spoke with Eric and I had a brief discussion with David this morning.

here the two only options that we consider viable: let me say that we all agree on the problem created by the client and it also seems that from a legal point of view they are compliant with their own law. So I would like to have also your feedback on both alternatives:

1) Stop to serve the client. In this case we should carefully motivate the decision, basically because their maintenance contract is not expired yet. We can tackle the discussion mentioning both (a) the export control rules and the request of clarification from authority (it could be a true consequence in the near future and we will probably need to submit a specific authorization requests); (b) misuse of the software that exposed our product. The misuses might also be considered a violation of the license but also of existing relevant law and regulation (of course we should seek for legal advice).

2) Propose a meeting to the client in order to evaluate different options of cooperation Basically we should evaluate if we are willing to serve them based on a different agreement, that is, in other word, a mandatory local assistance (with a local FTE Support selected by us) in order to supervise any operations and avoid the type of gross tech misconduct they performed. We should basically review each single attack scenario in order to ensure that they are not modifying any security setting of the infrastructure (e.g. Firewall configuration) and any attack strategy (email, ecc).

Of course this is just a proposal and option (2) requires additional internal discussion and a face to face meeting with the client in case we will proceed in this way.

What is your opinion?

Giancarlo

On 3/20/2015 1:13 PM, Eric Rabe wrote: Giancarlo and I discussed this in Dubai.  He can relay my view more completely, but I believe that essentially Daniele is on the right track here.  In addition to any view of the allegations and       claims of the C.L. report, this use of our software poses a danger to the business.

Eric

On Mar 19, 2015, at 4:03 PM, Daniele Milan <d.milan@hackingteam.com> wrote:

Dear all,

I’m receiving ongoing pressure from the E. client to resume the relationship that came to an halt after the CitizenLab/HRW reports. I think that we all agree that we should interrupt any business with them due to the recurring media exposure and resulting technical issues. Their reckless and clumsy usage of our solution caused us enough damage. What’s worst is that we can be sure that if we allow them to continue, more will come.

I would like to have your opinion on this and eventually on how to communicate this decision both with the customer and the media, if appropriate.

Thanks, Daniele

-- Daniele Milan Operations Manager

HackingTeam Milan Singapore WashingtonDC www.hackingteam.com

email: d.milan@hackingteam.com mobile: + 39 334 6221194 phone:  +39 02 29060603

--

Giancarlo Russo COO

Hacking Team Milan Singapore Washington DC www.hackingteam.com

email: g.russo@hackingteam.com mobile: +39 3288139385 phone: +39 02 29060603

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée