Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

NSO : une soudaine médiatisation qu'il faut replacer dans un contexte

Pas de révélation fracassante, mais une utile mise en lumière d'un vendeur d'armes numériques

Le consortium Forbidden Stories et Amnesty International ont eu accès à 50.000 numéros de téléphone sélectionnés comme cibles pour être espionnés. Des journalistes, des opposants, bref, le lot habituel lorsque l'on parle des armes vendues par ce type d'entreprise.

NSO fait de la cyber-intelligence et... des armes numériques

Lorsque 17 médias internationaux publient en même temps sur un sujet aussi spécifique, la médiatisation est énorme. Dimanche 18 juillet, le consortium Forbidden Stories et Amnesty International ont annoncé avoir eu accès à une liste de 50.000 cibles du logiciel Pegasus de NSO, une boite israélienne fabriquant des armes numériques. Bilan des premiers articles ? NSO vend à des gouvernements des outils de surveillance terriblement intrusifs qui permettent de prendre le contrôle total d'un téléphone sans que l'utilisateur ait à faire la moindre manipulation. Pire, ce ne sont pas uniquement des terroristes et des criminels qui sont visés mais des journalistes, des opposants politiques et des militants pour les droits fondamentaux. Surprise ? Non.

Ce travail essentiel du consortium ouvre surtout une liste de questions : comment en est-on arrivés là ? Peut-on sortir de ce cercle infernal ? Les cibles françaises étaient-elles réellement visées par le Maroc ou ce dernier rendait-il service à un service ami ?...

Porter à la connaissance du grand public des affaires de ce type est une gageure. Les journaux sont rarement preneurs de ce type se sujets. Trop techniques, trop compliqués, pas assez « concernants », on en passe. Les directions de la rédaction et les chefs de services sont souvent trop âgés et/ou pas assez pointus sur le plan technique pour comprendre la portée sociétale de tels sujets. Ce qu'a fait ici le consortium est donc très important. D'autant que NSO est une entreprise qui déteste la lumière. Nous les avions rencontrés sur le salon Milipol et cela avait été assez drôle.. Une soif de rester invisible qui nous avait d'autant plus étonné que notre couverture aurait dû les intéresser.

Le travail du consortium est d'autant plus important que sans identification de cibles précises, il ne peut y avoir de plaintes. Et seules la Justice ou la loi peuvent mettre un terme aux agissements de telles entreprises.

Dans l'affaire Amesys, si les articles incessants de Reflets et de quelques autres médias ont eu un rôle dans la procédure judiciaire en cours, c'est à Margaret Coker du Wall Street Journal qu'il faut surtout rendre hommage. D'une part elle a permis de donner une visibilité mondiale au business d'Amesys, d'autre part, elle a permis aux juges Français d'entendre des victimes libyennes qui, pour simplifier, sont sorties de l'ombre grâce à elle.

Espérons que sur les 50.000 cibles, quelques-unes s'engageront de la même manière dans un très long parcours judiciaire. Amesys (en tant que personne morale) et ses principaux dirigeants à l'époque du deal avec la Libye de Kadhafi ont été mis en examen il y a quelques temps, soit plus de dix ans après les révélations.

Alors surpris ?

La présentation dimanche soir du dossier NSO par les journalistes de France Info était assez étonnante. Était-ce le ton « radio », était-ce parce que ces journalistes étaient véritablement abasourdis de ce qu'ils découvraient ? Le « marketing » des lancements était un tantinet trop appuyé. Peut-on être surpris des révélations ? Oui si l'on ne connaît rien au sujet. Non si on a déjà un peu lu sur ces affaires qui défrayent régulièrement la chronique depuis Amesys et les révélations Snowden.

À quoi servent ces outils de surveillance ? À administrer à distance une flotte de téléphones d'entreprise ? Non. À lutter contre la criminalité et les terroristes ? Oui, sans doute un peu. Mais ils servent surtout à surveiller les journalistes d'investigation, les opposants politiques, les défenseurs des libertés fondamentales. Il faut comprendre comment fonctionnent ces outils et dans quel écosystème ils s'inscrivent pour comprendre que les téléphones des terroristes ne sont pas ceux qui sont principalement visés.

Le responsable commercial d'Amesys avait eu cette explication alambiquée une fois la vente à la Libye connue :

Pour s'installer sans action du possesseur du téléphone, Pegasus doit s'appuyer sur des failles informatiques inconnues. On parle de « zerodays ». L'éditeur du système d'exploitation du téléphone, Apple (pour l'iPhone) ou Google (pour Android) ne sait pas que ces failles existent et ne peut donc pas protéger les utilisateurs contre une attaque qui reposerait dessus.

Dans la gamme des « zerodays », il y a les petites failles et les grosses failles. Celle qui permet d'installer Pegasus va se négocier une véritable fortune. Bien sûr il y a des personnes qui font de la « recherche et développement » au sein même de NSO, mais parfois, ces failles s'achètent sur étagère...

En évoquant ce sujet, nous venons de pousser la porte de l'écosystème de la sécurité informatique et ce n'est pas toujours reluisant.

Au siècle dernier, dans les années 90, un hacker qui découvrait des failles, suivait un processus normé. Dans le meilleur des cas, cela se passait comme cela : il informait l'éditeur du logiciel, laissait du temps pour qu'une nouvelle version corrective soit diffusée aux utilisateurs, publiait ensuite les informations techniques (ce qu'il avait découvert, comment s'en protéger, un bout de code démontrant le danger de la faille, etc). L'éditeur remerciait le hacker.

Le monde a changé. Aujourd'hui les failles les plus graves sont vendues pour des montants astronomiques, parfois un million de dollars sur des places de marché comme Zerodium.

Le rôle de ces plateformes qui poussent à la monétisation des failles doit être questionné. Elles fluidifient le processus qui mène à la vente d'armes numériques. En 2015, Marc Maiffret expliquait que le monde de la sécurité informatique avait changé depuis les débuts du Web, lorsque lui-même publiait gratuitement des failles :

« Ce que l’on faisait à l’époque, entre amis, a poussé Microsoft à prendre la sécurité au sérieux. Aujourd’hui, cela va mieux même s’il reste des failles. Ceci dit, elles sont moins publiques et se vendent désormais au plus offrant. Nous, on les publiait. Gratuitement, bien sûr. C’était une autre époque. Le secteur de la sécurité informatique est devenu un énorme marché. Au même titre que le secteur pharmaceutique ou aéronautique. D’une sorte de contre-culture, on est passé à un marché ».

Et pour tout vous dire, cela va aller de mal en pis.

L'iPhone dernier cri des terroristes

Contrairement à une idée reçue, les terroristes et autres criminels ne sont pas complètement déconnectés de la marche du monde. Ils savent généralement (il y a des exceptions et des bras cassés) que les Etats ont désormais des outils très puissants pour s'introduire dans les téléphones, les tablettes, les ordinateurs quand ils n'aspirent pas tout ce qui passe sur le réseau ou qu'il n'obtient pas l'accès aux serveurs par des réquisitions judiciaires. Personne n'est vraiment anonyme sur les Internets. Bref : le numérique, c'est dangereux. Tout cela est même gravé dans la loi dans notre pays comme dans bien d'autres. C'est dire que l'info est publique. Du coup, tous savent qu'il est préférable de s'équiper d'un téléphone jetable en plastique à 10 euros que du dernier iPhone ou du dernier Samsung truffé de zerodays.

Partant de ce constat, on comprend que les outils reposant sur des zerodays à un million de dollars ne visent pas forcément des terroristes, mais plutôt des geeks, des journalistes, des politiques, des défenseurs des libertés fondamentales, généralement plutôt équipés de ce type de téléphones que d'appareils jetables à 10 euros.

NSO, l'arbre qui cache la forêt

L'annonce du sujet par Forbidden Stories
L'annonce du sujet par Forbidden Stories

Bien entendu, NSO et ses semblables mettent la démocratie en danger. Mais ils ne sont que l'arbre qui cache la forêt.

Les États sont les premiers consommateurs de vecteurs d'attaques de ce style. Après avoir déployé des outils d'interception massive, comme la NSA aux Etats-Unis, la DGSE en France, le GCHQ en Grande-Bretagne, ils se tournent désormais vers ces armes numériques permettant de cibler une personne en particulier. Ce n'est pas vraiment nouveau. Vupen, par exemple, en France, était une entreprise très appréciée de la DGSI avant de partir se transformer à l'étranger en Zerodium. Mais le processus s'est accéléré. Explications.

Edward Snowden, en confiant à la presse des millions de documents, a permis au grand public de découvrir qu'il était possible de passer au tamis tout le trafic Internet, tous les jours. Le choc. De fait, les outils de Deep Packet Inspection (DPI) existaient depuis quelques années et nous avions largement documenté les dangers d'une telle technologie dans nos colonnes.

Mais ces révélations vont pousser les grands acteurs d'Internet à faire volte-face. Après avoir plus ou moins volontairement collaborés à ces interceptions, ils comprennent que les utilisateurs risquent de fuir s'ils savent que les services de renseignement peuvent venir puiser dans leur trafic Internet non protégé par du chiffrement. Ils décident alors d'implémenter SSL partout où cela est possible. Résultat, le trafic est chiffré entre l'ordinateur de l'utilisateur et les serveurs des grands acteurs en question. C'est le petit cadenas dans le navigateur qui vous fait croire que votre navigation est sécurisée.

Si le trafic qui circule sur le réseau est chiffré, l'intérêt des interceptions massives décroit. Pas totalement car les métadonnées ne sont pas chiffrées et peuvent être aussi parlantes que les données. Mais tout de même... Bref, s'ils ne peuvent plus attraper ce qui passe sur le chemin, les États se tournent vers les extrémités du réseau : les serveurs et les clients. C'est à dire les utilisateurs, leurs ordinateurs et leurs téléphones.

Méta quoi ?

Lorsqu'un mail (mais ça marche pour tout ce qui circule sur le Net) est envoyé, il est composé de deux parties. La première : le payload. Le contenu. C'est le texte de votre mail. La seconde : les métadonnées. Ce sont les données nécessaires pour que votre mail circule. Il y a votre adresse (pour la réponse), l'adresse du destinataire (pour qu'il arrive), la date, etc. Ne pouvoir intercepter que les métadonnées, c'est déjà en savoir beaucoup. Prenons un exemple avec une interception téléphonique qui ne concernerait que les métadonnées (qui parle avec qui). M. Truc téléphone un matin à un labo d'analyses médicales. Il rappelle le labo quelques heures plus tard. Il passe ensuite un coup de fil à son médecin traitant. Il appelle ensuite sa banque et sa compagnie d'assurance. Enfin il joint un numéro d'une association LGBT et un autre d'aide aux personnes atteintes du VIH. Que pouvez-vous déduire, à tort ou à raison, sans savoir ce qui a été dit, sur cette personne ?

Les États se sont totalement libérés des contraintes éthiques ou législatives dans leur quête effrénée d'informations concernant les terroristes (mouvement post 11 septembre) et les populations (période pré-Snowden et suivante).

A tel point qu'en France, les services de renseignement ont inventé un terme qu'ils ont soufflé aux politiques : « des pratiques alégales ». Tout étudiant en première année de droit sait que tout ce qui n'est pas interdit par la loi est autorisé. Dit autrement, les pratiques des individus ou de l'État sont soit illégales, soit légales. Il n'y a pas d'entre-deux en droit. Sauf, bien sûr pour l'État et ses services de renseignement (en France, principalement la DGSE et la DGSI).

Nous avons donc vu fleurir dans la presse ce terme « alégal » pour justifier des pratiques illégales. Pas vu, pas pris. Vu ? pas de plaintes, pas de procès, pas de condamnations, circulez, il n'y a rien à voir.

Le secteur de la « sécurité informatique » inclue les boites fabriquant les pires vecteurs d'attaque, des armes numériques variées et qui vendent aux dictatures et autres États policiers. Mais pas seulement. Elles vendent aussi à leur propre pays (ça vaut pour la France, mais ça marche aussi ailleurs). Ce secteur s'inscrit lui-même dans un écosystème (le terme a été popularisé par Microsoft qui parle ainsi d'elle-même et des sociétés qui ont une activité reposant sur ses produits). L'État est bien entendu une partie importante de cet écosystème. L'Anssi certifie des produits d'entreprises aux pratiques pas toujours très clean, Bercy s'accommode de l'exportation d'armes numériques (ou pas) vers des pays très fâchés avec les droits de l'Homme, les ministères et autres administrations sont clients de produits aux usages « duaux ». Les entreprises du secteur renient leurs origines, s'en prennent volontiers aux « hackers » (en termes marketing, c'est désormais plus parlant que les pirates) qui ont pourtant créé leurs outils. Les associations (Hexatrust, on te voit) faisant la promo du secteur accueillent parfois en leur sein même les boites ayant fait le plus de compromis avec la morale et l'éthique.

Si l'on plonge dans la liste interminable des révélations faites par la presse sur la base des documents d'Edward Snowden, on comprend que les États en sont pas en reste en termes de jonglage avec l'éthique et la morale. Les programmes bien tordus sont légion. Bien avant les outils de NSO, on y apprend que le GCHQ espionnait les journalistes, développait ses propres outils pour infecter les téléphones, etc.

Le jeu des 7 familles

Vient ensuite la question des échanges de données entre services amis. Depuis le 11 septembre, les services de renseignement ont pris l'habitude de verser au pot commun des données qui peuvent être utiles. Un service peut, par exemple, obtenir, en piochant dans le stock d'un ami, des interceptions sur une cible nationale que la loi lui interdit de cibler. Ça marche bien sûr entre services très amis comme la NSA américaine et le QCHQ britannique, mais aussi entre les services français et américains. Si je n'ai pas la grand-mère dans la famille Troglodyte, je vais la piocher chez un autre joueur.

La France, très présente pour les écoutes sur les câbles du continent africain a, ces dernières années, pris une position qu'elle n'avait plus depuis longtemps sur cette grande place de marché du renseignement. La connectivité des Etats-Unis avec l'Afrique est assez ridicule, comparée à celle de la France et de l'Europe en général. Or le péril terroriste s'est beaucoup déplacé vers ce continent depuis de nombreuses années. Les 5 eyes sont donc devenus les 6 eyes. Nous sommes le sixième pays à entrer dans ce cercle fermé.

La connectivité en une diapo... - documents NSA révélés par Edward Snowden
La connectivité en une diapo... - documents NSA révélés par Edward Snowden

Dans ce monde, il n'y a pas, comme on a pu l'écrire et le lire, des chapeaux blancs et des chapeaux noirs. Tout est un peu gris. Des hackers parmi les plus « chapeaux blancs », dont on peut difficilement remettre en question l'éthique, ont participé à la mise en place de l'infrastructure dénoncée par Edward Snowden après le 11 septembre. Comme tant d'autres Américains, ils ont cru se mettre au service de la protection de leur pays. Si l'on lit entre les lignes le livre de Joseph Menn sur le Cult of the Dead Cow et par extension sur le groupe L0pht, on comprend une partie de cette histoire.

Désormais disséminés dans toutes les plus grosses entreprises du secteur, les hackers les plus forts et les plus vertueux, ceux des origines du Net, ont depuis longtemps pour une partie d'entre eux, composé avec la réalité et les salaires qui vont avec. Ce n'est pas une figure de style. Le groupe w00w00 a produit des milliardaires, ADM, L0pht, cDc, on en passe, ont essaimé à des postes élevés parmi les plus grands noms de la Silicon Valey. Quand ils n'ont pas créé leur propre boite qui se range parmi les leaders.

Le Maroc et ses 10.000 cibles, dont des françaises

Mais revenons à l'une des révélations phare de Forbidden Stories et Amnesty sur NSO : « plus de 10.000 numéros de téléphone ont été sélectionnés en vue d’une possible surveillance par le seul client marocain en l’espace de deux ans. » Dans cette liste, des noms connus en France : Edwy Plenel, fondateur de _Mediapart ou Éric Zemmour, polémiste d'extrême-droite.

Si l'on peut facilement relier le piratage du téléphone d'Edwy Plenel à ses déclarations sur le Maroc, l'intérêt d'Eric Zemmour pour le Maroc est plus trouble. Le piratage de son téléphone est-il le fruit d'un « échange » entre services ? Rien ne le prouve, évidemment, mais cela semble une explication logique en l'état des connaissances sur les échanges de données entre services de renseignement mis à jour ces dernières années.

Sur le volume, 10.000 numéros visés par le Maroc sur deux ans peuvent sembler important. Mais il faut mettre en regard ce chiffre avec ce que le QCHQ faisait avec Smurf Suite, ou ce que la France fait, par exemple, en termes d'écoutes administratives. Ces dernières sont couvertes par le secret-défense et ne sont évidement pas supervisées par un juge comme les écoutes judiciaires. On évalue à 22.000 le nombre de personnes surveillées en France de manière administrative en 2020, rappelait Amaelle Guiton dans un article récent sur le GIC. Le détail des chiffres est disponible dans le rapport 2020 de la CNCTR. On est donc à plus du double en une seule année par rapport à ce que fait le Maroc avec Pegasus. En termes de demandes d'interceptions similaires à ce qui est fait avec Pegasus, on arrive à près de 20.000, sans compter les interceptions de type voix sur GSM/Fixe.

La Blague de Whastapp

Dans son article sur le dossier Pegasus, Le Monde fait état de l'inquiétude tu patron de Whatsapp face à ces « outils qui permettent de surveiller notre vie privée et qui sont utilisés à tort et à travers ». Et « trois ans plus tard, nous explique Le Monde, M. Cathcart n’a toujours pas décoléré ; dans une discussion avec plusieurs médias français, il dénonçait encore, en juin, « une industrie du logiciel espion dangereuse et hors de contrôle ». C'est un peu la blague pas drôle de Michel Denisot.

Facebook est probablement en soi le pire des spywares de l'univers connu. Et voilà le patron de Whatsapp, filiale de Facebook, qui vient expliquer que la collecte d'informations, quand ce n'est pas le fait de Facebook ou de Whastapp, et bien..., c'est très mal.

Si vous avez suivi les liens de cet article, vous savez désormais que Whatsapp a été codé par Jan Koum, issu du groupe w00w00. Il a vendu son bébé (19 milliards de dollars) à Facebook et y est resté pour le développer, jusqu'en 2018. Il a quitté son projet sur un désaccord lié aux données personnelles. Brian Acton, co-fondateur de Whatsapp avait pour sa part quitté le navire en 2017 et co-fondé la fondation Signal. Si les deux co-fondateurs ont quitté Facebook sur des problèmes de privacy, il faut se poser quelques questions sur la façon dont Facebook conçoit, justement la vie privée de ses utilisateurs.

Ces révélations sont donc primordiales pour que des plaintes soient déposées (Mediapart a annoncé son intention de le faire) et que la Justice s'intéresse aux activités de NSO. Mais un ménage plus large devrait être entamé par l'écosystème. Que fait Ercom au sein de Hexatrust ? Que dire de l'impunité dont ont joui les principaux acteurs de l'affaire Amesys ou Qosmos au sein de l'écosystème pendant des années ? Un des développeurs ayant travaillé sur le projet libyen d'Amesys a fini à l'ANSSI. C'est dire si l'écosystème est ouvert... Dans ce milieu, chacun connaît le rôle de l'autre, chacun sait qui a poussé le bouchon trop loin mais tout le monde fait semblant de rien voir et chacun se congratule au sein d'associations professionnelles et dans les congrès. En attendant, comme cela est logique et prouvé depuis des années (plus de 10 ans pour le dossier Amesys), le nombre de victimes de nos produits dans des pays fâchés avec les droits de l'Homme s'allonge inexorablement dans l'indifférence générale du fameux écosystème. C'est d'autant plus une honte, que tout le monde est au courant.

6 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée