Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Attention Amesys, dans quelques lignes, vous allez être ridicule (*)...

Souvenez-vous, alors que le Wall Street Journal confirmait que Amesys avait bien installé une infrastructure d'écoute du pays en Libye, l'entreprise fermait précipitamment son site, nettoyait le Web de toutes ses plaquettes commerciales et publiait un ridicule communiqué sur sa page d'accueil. Nous avions à l'époque commenté ce communiqué. Il est temps, après la publication par Mediapart d'un document d'Amesys détaillant l'opération libyenne, de relire ensemble, encore une fois ce communiqué.

Souvenez-vous, alors que le Wall Street Journal confirmait que Amesys avait bien installé une infrastructure d'écoute du pays en Libye, l'entreprise fermait précipitamment son site, nettoyait le Web de toutes ses plaquettes commerciales et publiait un ridicule communiqué sur sa page d'accueil.

Nous avions à l'époque commenté ce communiqué. Il est temps, après la publication par Mediapart d'un document d'Amesys détaillant l'opération libyenne, de relire ensemble, encore une fois ce communiqué.

Suite à un grand nombre d’informations erronées ou fausses parues dans les médias, Amesys tient à apporter les précisions suivantes

Amesys a signé un contrat en 2007 avec les autorités libyennes. La livraison du matériel a eu lieu en 2008.

Comme nous l'avions déjà noté à l'époque de notre premier papier, Amesys annonce vouloir rétablir la vérité. Petit hic, la première vérité énoncée démontre qu'Amesys a menti quelques mois plus tôt à Owni. En juin dernier (2011), Owni, aiguillé par Reflets, avait posé la question à Olivier Boujart, responsable de l’export chez Amesys : est-ce que vous n’auriez pas déployé des matériels d’interception en Libye ? Il déclarait à l’époque “ne pas avoir connaissances des activités du groupe [en Libye]”. Du coup, la question se pose, doit-on croire sur parole, aujourd’hui, Amesys, plus qu’hier ?

Le contrat concernait la mise à disposition d’un matériel d’analyse portant sur une fraction des connexions internet existantes, soient quelques milliers. Il n’incluait ni les communications internet via satellite – utilisées dans les cybercafés -, ni les données chiffrées – type Skype -, ni le filtrage de sites web. Le matériel utilisé ne permettait pas non plus de surveiller les lignes téléphoniques fixes ou mobiles.

Chère Amesys, je vais me permettre, à ce stade, de vous citer. Ou plus précisément, de citer votre propre prose, destinée aux autorités libyennes. Attention, vous allez commencer à être ridicule.

The whole system is designed to be absolutely passive, connected on internet via the main Libyan ISP withits approval, and without any disruption on his installation. The System is also undetectable by any InternetUsers.The system will be connected on the 1Gbit/s Ethernet connection between the switch CISCO catalyst 6000and the main router which is a CISCO serie 7500 (to be upgraded in the next months) thanks to an optical tapfrom the company Netoptics (see attached document, annex #A), allowing no disrupt of traffic in case of default, the traffic will continue even if our equipment is not working.The first step of our system is to go through a very powerful PROBE which is able to process a 1Gbit/s flowin real time ( real time on the whole 1Gbit/s ), this probe is composed of plug-in modules, each module beingable to process 200Mbit/s of datas, Those modules are easily replaceable and are hot plug (plug and play).This probe has a special software which is doing discrimination of the internet flow in different categories:mail (including webmail, instant messaging, etc.) , HTTP, VoiP, business type (VPN, citrix, etc.), video, etc

(...)

Our solution has been engineered to provide the performance you need for gigabit traffic loads today and _with expandability and scalability built in for tomorrow.__ Appliance performance_ - 3+ Gbps stateful inspection throughput - Unparalleled 2.2 Gbps of application layer throughput - 15,000 connections accepted per second - Up to 1,000,000+ total simultaneous connections - "Tunable" firewall balances performance against security requirements

 

 

Voir le reportage du Wall Street Journal.

 

En clair, vous installez un bouzin pareil au coeur du plus gros FAI libyen, ... pour "une fraction des connexions Internet existantes" ? C'est vraiment  vexant de voir que vous faites tout pour insulter l'intelligence de vos lecteurs.

Vous expliquez dès le début de votre document que vous allez pouvoir monitorer les webmails, le chat, le trafic HTTP (Web), les VPNs, etc.

Avec cette précision pour ceux qui n'auraient pas compris :

The recognition is done through this special software (CAPI-FC) which can recognize up to 250 of the mostused protocols, those ones are recognised thanks to unique software whose recognition is based on key wordand syntax within the protocol. Then the internet flow is sent to a big DATA BASE in as many files as maintopics, that means that there will be a file for all the mail types, another one for VoIP, etc.

Pour les neuneus en informatique, vous vous faites très clairs sur la vitesse à laquelle vous allez pouvoir surveiller une fraction des connexions Internet existantes:

It is very important to realise that all those attributes will be given in real time for all traffic (real time meansseconds and not minutes!).

Le traitement de l'information à la seconde est essentielle en effet pour traquer quelques terroristes comme cela est indiqué dans la suite du votre fameux communiqué :

Ce contrat a été signé à l’époque dans un contexte international de rapprochement diplomatique avec la Libye qui souhaitait lutter contre le terrorisme et les actes perpétrés par Al-Qaïda. (2007 : année de la libération des infirmières bulgares). (Déc. 2007 : visite officielle de Mouammar Kadhafi en France ; Juil. 2009 : rencontre de Barack Obama et Mouammar Kadhafi en Italie).

Donc, Amesys installe un truc pareil pour repérer quelques terroristes d'Al-Qaida ?

C'est étonnant quand même. Je sais qu'à ce stade, toute personne ayant quelques connaissances en informatique affiche déjà un large sourire. Mais je voudrais être plus "factuel", pour ne pas raconter des menteries, comme c'est évoqué au début du communiqué.

Je vais donc à nouveau citer votre prose, chère Amesys :

Right now, we can guarantee more than 70%recognition of the internet flow.We will assist the customer in adding new protocols recognition to achieve this goal of 70% by adding new protocol plug in if necessary with a target of 90% recognition.

Heu? Vous annoncez d'emblée pouvoir traiter 70% du trafic Internet libyen, puis 90% à terme, tout ça pour choper quatre terroristes ? C'est une blague ? L'ajout possible d'un appareil pouvant traiter lui aussi le même volume de données par seconde, prévu dans votre offre (page 5), c'est pour les 4 terroristes supplémentaires qui décideraient de venir s'installer en Libye ?

Les données devaient être stockées sur 12To, capacité qui, précise ce document, peut être portée à 34To "si nécessaire". Ah, là encore, on sent qu'il va y avoir une vague d'immigration massive de terroristes d'Al-Qaida en Libye.

INTERLUDE : Ding-Dong... Messieurs Guéant et Hortefeux sont demandés à l'accueil pour conseiller M. Kadhafi sur la mise en place de procédures d’expulsions efficaces de tranches de 25.000 terroristes étrangers.

Comme nous le disions dans notre premier article lors de la parution du communiqué Amesys : le safari de terroriste d’Al Qaida, c’est toujours autorisé. Le safari d’opposant libyen ou syrien, moins.

A bien y réfléchir, il aurait suffi d'envoyer quelques bombes nucléaires sur la Libye, comme ça, on aurait été sûrs qu'il n'y aurait plus de terroristes dans ce pays...

Toutes les activités d’Amesys respectent strictement les exigences légales et règlementaires des conventions internationales, européennes et françaises.

Fort bien. Et donc, comme nous l’indiquions dans un précédent article, toute la documentation très détaillée sur cette vente se trouve dans les bases du SGDN. Amesys en a forcément une copie. Les deux peuvent, dans ce contexte de petite crise informationnelle, produire publiquement tout cela. Que l’on sache exactement ce qui a été vendu avec l’imprimatur du premier ministre français à un dictateur patenté. Mieux vaut de la transparence que des supputations ou des menteries de journalistes…

 Amesys n’opère aucun centre d’écoute téléphonique ni internet à aucun point du globe.

Comme nous le disions, dans notre précédent article, tout est dans la sémantiques. Amesys "n'opère" peut-être pas des centres d'écoute, mais en vend de très jolis. La preuve.

Pour ce qui est du centre libyen, le document publié par Mediapart évoque 10 postes d'opérateurs. Selon nos informations, le QG à Tripoli contenait à vue de nez plutôt une trentaine de postes de travail.

Le non centre de test installé à Tripoli permettait d'enregistrer tout le trafic Internet sur cinquante jours et de le reconstituer par la suite en fonction de mots clefs :

Once we have selected or recognised any information of interest thanks to the CDR database, allinformation stored in the main data base can be reconstituted with the exception of storagelimitation of course (we remind you that we have in storage several days of the complete flow!).Those reconstitutions called transcoding modules are organised by application type. All the kind of emailing applications, attached documents, VoIP type of communication can be reconstructed.Email type transcoding modules include:

  • SMTP,
  • POP3,
  • IMap

and webmail (the most and common used, google, yahoo, etc.)Attached files to the communication exchanges:

  • .doc, .txt, .xls, .csv, .pdf, .ppt, etc.
  • .gif, .jpeg, .bmp, .mpeg, .avi, .tif, .wav, etc. The most and common used VoIP and Chat type:
  • Standardised ones (H323, SIP, MGCP, .)
  • Proprietary ones (msn, yahoo, paltalk, bctocall, bctophone,etc.)

Amesys a toujours privilégié un développement dans les zones géographiques avec lesquelles la France ou l’Europe nouent des partenariats stratégiques.

La stratégie d’Amesys est de mettre au point des systèmes informatiques critiques permettant la protection du patrimoine numérique de ses clients ou la sécurité physique des personnes (véhicule shadow : contre les déclenchements à distance de bombes lors de passages de convois).

On va y revenir à la protection du patrimoine numérique de votre client Mouammar Kadhafi. Patience©.

Les activités d’Amesys s’intègrent également dans les procédures de contrôle interne définies pour éviter toute irrégularité au sein du groupe Bull, dont elle est filiale depuis 2010.

Amesys ne communique jamais sur ses activités par région mais souhaite – compte tenus de circonstances exceptionnelles en Lybie – éviter toute désinformation préjudiciable à ses équipes, ses clients et ses partenaires.

Comme nous le disions dans notre précédent commentaire du communiqué d'Amesys :

Rectification : Amesys porte atteinte à l’image d’Amesys et de ses salariés en vendant des technologies dont tout le monde sait pour quoi elles seront réellement utilisées par un dictateur psychopathe.

 

Et pour étayer notre propos de l'époque sur ce point, il convient de lister une partie du document publié par Mediapart. Il ressort que oui, l'outil d'Amesys visait à identifier des personnes, leurs contacts éventuels, de les localiser sur une carte spécifique de la Libye . Ajoutons un peu de gras pour une meilleure lecture :

EXAMPLE OF OPERATIONAL MODE (NOT LIMITED TO)

Thanks to the of the system organization, different types of operational modes can be used:

  • Specific keyword based monitoring

In all emails send or received (in subject or in the text)

In all types of attachment (txt, xls , csv ,pdf, ..) once the flow is reconstituted and ona specific target

Web site browsed (URL query)

Chat message (inside the text)

  • Email ID based monitoring

Capture of all email and attachment

Search for keyword within all captured mails and attachments (in differed time for attached document)

Track ISP’s user IDs used when communicating with emails IDs

Store mail IDs of his communications ( i.e. mails sent or received from others )

  • Chat ID based monitoring

Capture all chat IDs.

Search for keyword within the captured traffic

List of other chat ID referred in the chat conversation

Get user ID, phone number and IP address (phone if available on the flow with thecooperation of the fixed line operator)

  • IP address based monitoring

Capture all traffic from and to IP address

Segregate traffic into mails, chat, etc. for differed display

Search for keyword within the traffic

Track all IP addresses accessing it

Track the telephone number of the users (if available in the flow with thecooperation of the fixed line operator)

  • ISP account id based monitoring

Display telephone numbers used for logging into the Net (if available in the flowwith the cooperation of the fixed line operator)

Display the time in which logging happened using that user ID

Track all traffic from and to the user ID

Break down the traffic to chat, email, etc. for differed display

Search for keyword within the captured traffic

  • Telephone number based monitoring (if available in the traffic with the cooperation of the fixed line operator)

 On telephony number:

Display the ISP user ID used to login into the net

Display the time in which logging happened using that telephone number

 Break down the traffic to chat, email, etc. for display

Search for keyword within the captured traffic

  • Geography (city/country) based monitoring (once mapping has been done with your organisation)

On city, country, tracks all communication flowing to and from that region. It includes email, chat, website browsing and voice calls

An graphical interface will be proposed with the Libyans map to locate easily the target

Et le plus beau arrive...

Value added feature

  • Capture and record most of the voice over Internet
  • Find geographic location of intercepted messages on an easy graphical user interface.
  • Instant alert generated for key messages by flag in the software or emailing to dedicatedusers.
  • Accumulate user names and passwords and other datas flowing in clear text over Internet
  • Build up database of ISP account and various telephone numbers used by that account over  period of time

Et comme Amesys n'opère pas de centres d'écoutes, Amesys propose à son gentil client démocrate de mettre en place DEUX sites supplémentaires :

To be able for two organisations, in two different locations to work on the recorded or real time traffic, weare proposing a second monitoring center (still with 10 users) located in a different place (for example thesecond place where the duplicated data base will be installed if you are taking the option)

(...)

_The appliance/firewall will be connected and managed from one or two or the three monitoring centers, this solution of filtering will have an independent graphical user interface and will just act as a filtering andredirection device. The black list and/or white list will be generated by the customer.The black list will be dynamically and constantly renewed and updated by the customer. _

Rappelons-le, Amesys insiste sur le fait qu'il s'agit de repérer des terroristes d'Al-Qaida. Pas du tout de faire de la censure, ni de repérer les opposants. Oui, sauf que dans l'offre faite au démocrate Kadhafi, Amesys explique que son outil permet de filtrer les contenus affichés :

Thanks to the NSA, the system can point out some dangerous communication and some unwanted URL or URI, we will install a SECURE COMPUTING solution which will allow URL/URI filtering.

Amesys réserve ses droits concernant les atteintes qui pourraient être portées à son image ou à sa réputation.

Si vraiment vous craignez pour votre image de marque ou votre réputation, vous devriez  vous assignez vous-même tout de suite. Mais vu ce qui apparaît ces jours-ci, il est assez probable que ce soit Amesys qui soit assignée. Il suffit que le juge chargé d'entendre M. Takieddine se penche sur les commissions qui lui ont été versées pour son "travail" sur le contrat i2e/Amesys/Bull. Bon courage en tout cas et surtout, merci d'avoir fait rire à peu près tous les informaticiens qui ont eu le courage de lire jusqu'ici. En revanche, vous avez dû faire pleure la plupart des gens qui évaluent la vie humaine au dessus de quelques millions d'euros.

 

 

(*)Ce titre est un hommage à Guillermito, quelqu'un pour qui j'ai beaucoup de respect et qui utilisait cette phrase dans Usenet.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée