Yogosha perché avec les Droits de l’Homme

La société de bug bounty en affaire avec ce qui se fait de pire dans le cyber

L’un des leaders français du bug bounty (chasse aux failles informatiques) est au mieux avec le Dr. Al Kuwaiti, président du Cyber Security Council des Émirats Arabes Unis, un homme impliqué dans de nombreuses entités étatiques ou para-étatiques versant dans le cyber-offensif et donc, la chasse aux opposants politiques avec des répercussions violentes en termes d’atteintes aux droits de l’homme.

Vous lisez un article réservé aux abonnés.

Le secteur de la cybersécurité est une machine à broyer les grands idéaux des hackers. Le bien commun, l’amélioration de la sécurité, la technologie qui libère, les droits de l’Homme, tout s’efface au profit de deals juteux. L’argent, ici autant qu’ailleurs, détruit les concepts moraux et éthiques et parfois même pousse ses membres à s’asseoir sur le droit.

Les affaires se suivent et se ressemblent. Parmi celles documentées au fil des ans par Reflets, il y a eu Blue Coat qui vendait des outils permettant d’opérer la censure du Web (et de pourchasser les opposants) à la Syrie de Bachar el Assad. Mais aussi Amesys, devenue Nexa/Advanced Systems qui avait, elle, vendu à la Libye de Kadhafi, à l’Égypte du maréchal Al-Sissi, au Qatar, au Maroc, au Gabon, à l’Arabie Saoudite, un système d’interception des communications via Internet ayant servi à arrêter des opposants. L’entreprise est depuis poursuivie pour complicité de torture devant un tribunal français. Il y a aussi eu Qosmos, qui vendait des sondes pour les systèmes d’interception globale. Moins connu, Ercom s’est fait prendre le doigt dans le pot de confiture en Syrie, en Mauritanie, en Égypte aux Émirats Arabes Unis, en Arabie Saoudite, à Sao Tome, au Yémen, au Sénégal, on en passe. Reflets s’est également intéressé à la société NSO et son cheval de Troie Pegasus ou à Avisa Partners, devenue Forward Global et ses penchants pour la désinformation.

Une constante dans tous ces deals, des pays clients très, très, très fâchés avec les Droits de l’Homme et des fournisseurs qui s’en tamponnent le coquillart. L’argent n’a pas d’odeur… Est-ce la même logique qui a poussé Yassir Kazar l’un des fondateurs de Yogosha, l’une des principales plateformes de bug bounty françaises à s’acoquiner avec le Docteur Mohamed Al Kuwaiti, le responsable de la cybersécurité des Émirats Arabes Unis ? L’homme a un passé très spécial que Yassir Kazar, qui se présente comme un ancien activiste, ne peut pas ignorer.

L’homme des opérations douteuses

Mohamed Al Kuwaiti connaît son sujet. Il a un doctorat en ingénierie informatique et en sécurité des réseaux de l'université George Washington aux États-Unis et une maîtrise en télécommunications et réseaux informatiques.

Selon sa biographie officielle, il a « travaillé pour l'Autorité nationale de sécurité électronique (NESA) à divers titres depuis 2013, où il a été directeur exécutif des opérations gouvernementales, chargé de gérer les relations gouvernementales nationales et internationales. Il a été analyste technique en chef au ministère de l'intérieur, où il a occupé d'autres postes, notamment ceux de directeur des opérations et de directeur technique du centre de lutte contre le terrorisme. M. Al Kuwaiti a commencé sa carrière en tant qu'attaché militaire pour la défense, l'aviation et la marine auprès de l'ambassade des Émirats arabes unis à Washington ».

La NESA est selon Wikipedia, « Spécialisée dans le renseignement d'origine électromagnétique et notamment informatique ». Elle a collaboré avec l’entreprise italienne Hacking Team, notamment pour espionner et surveiller opposants politiques, journalistes et militants des droits de l’Homme, comme le militant émirati Ahmed Mansoor.

Mais avant de dérouler les liens de Mohamed Al Kuwaiti avec Hacking Team, il faut s’attarder sur DarkMatter et le projet Raven.

Entre 2014 et 2016 la NESA lance un projet nommé Raven, qui vise à mettre en place une équipe cyber-offensive afin de pourchasser des activistes, des journalistes, notamment occidentaux, des leaders politiques ainsi que des personnes suspectées d’être des terroristes. En pratique il s’agissait de recruter des mercenaires dans le domaine cyber. Notamment à l’étranger. L’une des personnes approchée a raconté cette tentative qui l'a visé.

Nombre d’entre eux étaient issus des services de renseignement américains comme la NSA. Reuters et The Intercept ont largement documenté cette opération douteuse. Tout d’abord mené par la société américaine Cyberpoint, le recrutement des mercenaires a été pris en charge en 2016 par la société DarkMatter, dont le siège social était situé deux étages en dessous des bureaux de la NESA, où officiait Mohamed Al Kuwaiti.

DarkMatter s’illustrera notamment dans les persécutions de l’Arabie Saoudite contre Loujain Al-Hathloul, une militante saoudienne des droits de la femme. Celle-ci, toujours emprisonnée, a porté plainte en 2021 et 2023 contre DarkMatter et trois anciens officiers de renseignements américains qu’elle accuse d’avoir piraté son mobile, ce qui a conduit à son enlèvement aux Émirats Arabes Unis et son expulsion vers l'Arabie saoudite où elle a été détenue, emprisonnée, violée et torturée.

Mais ce n’est pas la seule terrible affaire à laquelle DarkMatter est mêlée. Selon Wikipedia, « depuis 2020, DarkMatter fait l'objet d'une enquête du FBI pour des délits tels que « _des services d'espionnage numérique, l'implication dans l'assassinat de Jamal Khashoggi et l'incarcération de dissidents étrangers ».

Dès 2011, Cyberpoint a par ailleurs joué un rôle d’intermédiaire entre les Émirats Arabes Unis et Hacking Team pour acquérir, entre autres, un cheval de Troie permettant de pirater téléphones et ordinateurs d’opposants politiques. C’est au nom de Mohamed Al Kuwaiti que Cyberpoint fait alors ses courses chez Hacking Team, selon les documents internes de cette entreprise qui ont fuité sur Internet après son piratage par l’hacktiviste Phineas Fisher en 2015.

En 2013, c’est cette fois la société Al Fahad Smart Systems qui sert d’intermédiaire entre la NESA et Hacking Team. Al Fahad est une vieille connaissance de Reflets. C’est cette société qui œuvrait avec Amesys pour l’installation de son système d’interception massive aux Émirats Arabes Unis… Télérama avait également raconté comment Al Fahad Smart Systems, via Amesys, avait permis à Ercom de décrocher des contrats aux Émirats et en Égypte.

Le temps a passé. Le groupe Etimad qui détient Al Fahad, est passé sous le giron du groupe EDGE. Ce dernier, détenu par l’État, se présente comme conduisant « le développement de capacités souveraines pour l'exportation et la préservation de la sécurité nationale, en travaillant avec des opérateurs de première ligne, des partenaires internationaux et en adoptant des technologies avancées telles que les systèmes autonomes, les systèmes cyber-physiques, les systèmes de propulsion avancés, la robotique et les matériaux intelligents. EDGE fait converger la R&D, les technologies émergentes, la transformation numérique et les innovations du marché commercial avec les capacités militaires pour développer des solutions disruptives adaptées aux exigences spécifiques de ses clients. Basée à Abu Dhabi, capitale des Émirats arabes unis, EDGE consolide plus de 25 entités en cinq pôles principaux : Plateformes et systèmes, Missiles et armes, Technologies spatiales et cybernétiques, Commerce et soutien aux missions, et Sécurité intérieure ». Et, pur hasard, le président du conseil d’administration, Faisal Al Bannai, n’est autre que le fondateur de… DarkMatter. Le monde est petit.

DarkMatter a disparu depuis longtemps. Au profit de Digital 14 puis de CPX. A chaque scandale un changement de nom ou une vente/absorption. C’est une technique déjà utilisée par Amesys pour faire écran de fumée.

CPX, « pensée pour devenir la nouvelle colonne vertébrale du Cyber d’Abu Dhabi » selon Intelligence Online, a été, toujours selon Intelligence Online, « officialisée par Dr Al-Kuwaiti lors du salon GISEC du mars 2022 » . Sur Linkedin, Yogosha présente sa collaboration avec CPX et le Cyber Security Council du Dr Al-Kuwaiti.

Yassir Kazar, un ancien cyber-activiste

En 2010, Yassir Kazar assiste au printemps arabe. Il décide de s’impliquer et rejoint le site marocain Mamfakinch, un média citoyen que Wikipedia décrit comme un site qui « a joué un rôle important dans la communication des informations sur les manifestations qui prenaient place dans les différentes villes du Maroc. Juste après, le site est devenu l'une des sources principales d'information et de discussion des sujets non abordés dans les médias publics. »

Il raconte son parcours à Privacy International, une ONG qui lutte pour la défense des droits de l’Homme et contre la violation de la vie privée par les gouvernements. Car peu après son arrivée, Mamfakinch a été victime d’un piratage mené avec les outils de Hacking Team.

« En me mettant à lire des auteurs comme Chomsky, j’ai réalisé qu’il y avait pas mal de gens qui critiquaient leur propre pays et je me suis dit que c’était un peu facile de critiquer les autres pays et qu’il fallait que je commence à regarder ce qui se passe chez moi. J’ai écrit mon premier article sur le Maroc en septembre 2010 et quelques mois plus tard il y avait le Printemps arabe. Du coup j’étais prédisposé à rejoindre un collectif comme Mamfakinch qui voulait écrire sur ces sujets. » De fait, Yassir Kazar tenait un blog engagé ici.

Il raconte en détail l’attaque de Mamfakinch par le Maroc avec les outils de Hacking Team, par ailleurs fournisseur de chevaux de Troie pour Mohamed Al Kuwaiti, avec qui l’entreprise de Yassir Kazar travaille aujourd’hui, nous y reviendrons.

« On avait un formulaire de contact sur lequel on recevait régulièrement des informations de gens, des propositions d’articles ou des messages d’encouragement. Une fois on a reçu un message avec une pièce jointe intitulée « scandale » et la personne disait quelque comme surtout ne me mentionnez pas, je veux pas qu’on me reconnaisse’ : il s’est avéré que tout était bien entendu bidon. Il y avait un document ‘.doc’ en pièce jointe. J’ai vu le mail et je ne l’ai pas ouvert parce que j’avais l’habitude d’utiliser Google Drive pour ça, étant de nature assez paranoïaque. Les premières personnes qui ont ouvert ont commencé à dire ‘c’est bizarre, le document est vide’. Là on a eu toutes les alertes rouges dans nos têtes et on a envoyé des messages en disant aux gens qui ne l’avaient pas encore ouvert de ne surtout pas l’ouvrir. Entre-temps on a transféré le message à des experts en sécurité pour qu’ils fassent le diagnostic et nous disent ce qu’ils avaient trouvé. Et là, ils ont dit qu’il y avait bien un logiciel espion de Hacking Team avec un enregistreur de frappe et la possibilité d’allumer la caméra. On a compris qu’on était dans quelque chose de ciblé, ce n’était pas le virus qu’on attrape par hasard. Il y a toujours une différence entre une histoire qu’on te raconte, que tu vois à la télé ou que tu lis dans un journal et ce qu’on vit réellement. C’est un peu comme une agression, on peut te raconter, tu peux avoir de l’empathie pour la victime mais quand tu vis la chose, c’est traumatisant. Après on réagit tous différemment au traumatisme, il y en a qui arrivent à transformer ça en expérience positive et il y en a qui restent bloqués, surtout s’ils n’étaient pas encore à l’aise sur les questions de technologie. Je pense que certains membres se sont pris une vraie claque. »

Yassir Kazar est sensible aux problèmes liés aux droits de l’Homme. Il était vice-président de la section parisienne de l’Association marocaine des droits humains (AMDH). Les utilisations par les États d’armes numériques pour des opérations de déstabilisation d’opposants, de politiques ou de journalistes, bref, de la société civile, lui tiennent donc probablement à cœur.

D’ailleurs, selon Yassir Kazar, cette attaque contre Mamfakinch a été le déclencheur d'un changement radical dans son parcours professionnel, puisqu'il va quitter son travail dans la Business Intelligence pour se convertir à la Cyber sécurité auprès de DefensiveLab. Près d'une décennie plus tard, il va se retrouver à collaborer avec l'un des clients de Hacking Team : Mohamed Al Kuwaiti.

Un drôle de partenariat

Fin octobre 2021, l’Emirates News Agency annonce la réussite d’un test de déploiement d’une plateforme de bug bounty par Yogosha pour l’opérateur Etisalat et un futur déploiement plus large.

Yogosha confirme par ailleurs sur Linkedin ses développements dans les Émirats. Dans les deux cas, si Etisalat est citée comme entreprise déployant la plateforme pour ses usages, le nom de l’incontournable Beacon Red, une nouvelle entité issue des multiples mutations de DarkMatter et intégrée au groupe EDGE est évoqué. Beacon Red sans qui rien n’aurait pu se faire selon Oliver Quix, directeur commercial EMEA de Yogosha . Yassir Kazar met pour sa part en lumière le fait que cette aventure émiratie est « gérée et approuvée par le chef de la cybersécurité du gouvernement des Émirats arabes unis, son Excellence le Dr Mohamed Al-Kuwaiti ».

L’ONG Transparency International avait publié un rapport en juin 2022, titré « coûts cachés : les entreprises militaires et de sécurité privées des États-Unis et les risques de corruption et de conflit » et dans lequel elle indiquait : « des vétérans de l'armée américaine apportent un soutien de haut niveau au secteur de la défense émirati par l'intermédiaire d'autres entreprises du groupe EDGE. Un ancien commandant de l'armée de l'air américaine est directeur de Beacon Red, la filiale d'EDGE spécialisée dans la cyberdéfense et le renseignement. Il était auparavant vice-président de ManTech et dirigeait le prédécesseur de Beacon Red, DarkMatter, qui a tristement recruté d'anciens responsables des services de renseignement américains pour espionner les détracteurs du régime émirien. De nombreux employés de Beacon Red ont travaillé pour DarkMatter, qui a pris pour cible des journalistes étrangers, des citoyens américains et des dissidents locaux, notamment un éminent militant des droits de l'homme qui a ensuite été condamné à dix ans d'isolement. Beacon Red semble également employer d'anciens membres des forces spéciales américaines ». Tout un programme…

Le choix des Émirats de mettre en place une plateforme de bug bounty dans le pays (et non pas d’utiliser la plateforme française habituelle de Yogosha) est un drapeau rouge pour Reflets. Nous avons documenté au fil des ans les techniques utilisées par les entreprises de cybersécurité pour éluder les lois européennes (soutien des services de renseignements [Amesys/Vupen/Ercom], expatriation dans des pays exotiques [Amesys, Zerodium/Vupen], vente à des entreprises dans des pays qui peuvent à leur tour revendre ailleurs et déclencher une migration fantôme des armes numériques [BlueCoat], etc.).

Cette manière de s’extraire du cadre législatif européen, toujours jugé contraignant par les entreprises de la cybersécurité et du monde des interceptions par rapport à celles des États policiers et des dictatures, est d’ailleurs mis en avant sur Linkedin par Mohamed FOUDHAILI, « Head of Customer Succes Manager » chez Yogosha, à l'occasion du lancement de la plateforme jordanienne de Yogosha.

En contrôlant une plateforme locale, le chef de la cybersécurité du gouvernement des EAU, Mohamed Al-Kuwaiti s’offre à peu de frais un outil lui permettant de repérer les nouveaux talents, de les fidéliser à moindre coût (pour DarkMatter, les EAU offraient des salaires entre un demi et un million de dollars et tous les frais payés y compris pour le reste de la famille). Cela lui permet aussi, sur le papier, de choisir les sujets sur lesquels il veut faire plancher la communauté d’experts en sécurité informatique.

Par exemple, il peut décider qu’un opérateur de téléphonie va s’assurer de l’absence de bug sur une marque et un modèle de téléphone, permettant de le pirater sans intervention de l’utilisateur (les fameuses failles zero clic qui peuvent se monnayer parfois en millions de dollars). Les failles éventuellement trouvées sont remontées sur la plateforme et peuvent être utilisée pour bien autre chose. Le passé de Mohamed Al-Kuwaiti et son usage des outils de Hacking Team n'incitent pas à lui accorder la moindre confiance en matière de protection des droits de l’Homme et des usages des armes numériques que sont les failles informatiques.

Un discours biaisé

Yassir Kazar explique que la plateforme Yogosha mise en place aux Émirats ne peut pas être détournée pour faire de l’offensif.

« Il est trompeur d'insinuer qu'il y aurait, aux Emirats Arabes Unis, un risque de détournement des failles de sécurité découvertes par Yogosha lors de Bug Bounty dans d'éventuelles futures opérations de renseignement. C'est méconnaître les principes essentiels du Bug Bounty selon lesquels une organisation ne peut tester que ses propres applications et non celles de tiers, et que toute faille détectée doit être corrigée dans les plus brefs délais. Une équipe de renseignement n'aurait aucun intérêt à passer par notre plateforme répondant à des normes strictes pour obtenir des failles de sécurité, alors que les systèmes d'information testés sont déjà exposés en ligne et à la portée de n'importe quel service de renseignement », explique le patron de Yogosha dans un droit de réponse à Intelligence Online.

Il y a là une vision très naïve du monde de la cybersécurité.

L’opérateur de la plateforme a le choix de faire plancher des hackers sur les « applications » qu’il souhaite. Il peut donc mettre en place une « application » qui ressemblerait comme deux gouttes d’eau à celle qu’il souhaite attaquer par la suite. Les gentils hackers à chapeau blanc vont donc livrer des failles clef en main à l’opérateur qui pourra ensuite les réutiliser pour une autre attaque ou les fournir à un tiers moins bien intentionné. Nous avions documenté cette problématique de la migration fantôme des armes numériques.

Par ailleurs, l'argumentaire selon lequel il y aurait des « hackers éthiques » de type chapeau blanc, des « hackers maléfiques » de type chapeau noir fonctionne très bien pour le marketing, mais n’a rien à voir avec la réalité. Depuis 2011, Reflets se revendique des « chapeaux arc-en-ciel » pour moquer cette classification popularisée par le secteur de la cybersécurité.

Rares sont les exemples d’entreprises du secteur de la cybersécurité qui ne se sont pas assises sur les principes éthiques de base lorsqu’un juteux contrat s’est présenté. Qu’il s’agisse de pays fâchés avec les droits de l’Homme ou pas. Les exemples cités au début de cet article peuvent être complétés avec d’autres peut-être moins choquants mais tout aussi discutables. Les entreprises comme Ercom ou Amesys/Nexa ont travaillé avec les services de renseignement français. Adieu vie privée, protection des correspondances, vaches, cochons poulets… Aux États-Unis la liste des entreprises et des hackers qui ont participé à la mise en place des outils de la NSA dénoncés par Edward Snowden est sans fin… Tout comme l’étendue des atteintes à la vie privée des habitants de la planète. Business is business… Et d'ailleurs, l'éco-système de la cybersécurité s'accommode très bien des brebis égarées sur ces chemins et continue à les recevoir dans tous les cercles et autres conférences comme si de rien n'était. La fameuse « résilience »...

Ceci dit, quand on se présente comme activiste, défenseur de la vie privée et des journalistes, aller faire du business avec un homme comme Mohamed Al-Kuwaiti, c’est, a minima, curieux.