Hacking Team et la France, c'est plus pas facile que c'est compliqué
Des interminables heures de téléchargement, quelques litres de café et pas mal de méthodologie sont nécessaires à la compréhension des documents fuités issus du piratage de Hacking Team. Il ne fait désormais plus aucun doute que les outils de Hacking Team, outils d'intrusion relativement élaborés, sont très prisés des gouvernements, souvent pas des plus démocratiques.
Dans cette masse de données, la France n'est évidemment pas oubliée. Anticipant la loi de renseignement, les autorités françaises ont rencontré Hacking Team pour étudier la possibilité d’acquérir sa solution, Galileo (ex Da Vinci). Mais c'est assez discrètement, par l'entremise d'une curieuse entité, CNET SAGIC, dont le code APE/NAF la présente dans le secteur de la restauration, sous la forme juridique d'association déclarée et en exercice depuis le 1er janvier 2000. Sa domiciliation, au 51 boulevard de la Latour Mabourg dans le 7e atteste qu'il ne s'agit pas d'une pizzeria de quartier. Évidemment, on ne trouve aucun bilan publié... Voici ce que l'on trouve à cette adresse via Street View.
Il est donc relativement surprenant de découvrir des échanges entre une personne utilisant un email de cette entité et les équipes d'Hacking Team pour programmer un voyage à Milan en vue d'une démonstration... visiblement CNET SAGIC ne fait pas que dans l'import export de mozzarella.
Date: 7 avril 2015 16:58:46 UTC+2 _De: xxxxx xxxxx <xxxxx.xxxx@sagic.fr>__ À: Philippe Vinci <p.vinci@hackingteam.com> Objet: Rép : Dates pour la visite à Milan ? est-ce que cela serait possible d’organiser une démonstration semaine 21 c’est à dire entre le 18 et 22 mai? Cordialement. xxxxx xxxxxx_
Les préoccupations du ministère sont assez détaillées, il est par exemple question de la durée de vie des dispositifs d'intrusion (surtout les exploits) et de savoir si Hacking Team en a dans les bacs en cas de mise à jour et de corrections. La préoccupation de passer sous les radars est évidente. C'est le Exploit Delivery Network qui assure la discrétion des opérations. La politique de Hacking Team est claire, un payload ne doit servir que pour une seule infection (pour une ou plusieurs cibles, mais en one shot), et le dump de la machine prévue à la distribution des malwares est assez éloquente, son /var/www/ regorge d'exploits prêts à infecter des cibles.
Les preuves judiciaires sont aussi au coeur des préoccupations des intervenants français, il est question de s'assurer de pouvoir fournir à un juge des "garanties de résultat". Les différents échanges semblent également indiquer que le GIC supervise une plateforme d'interception trans-services AQSACOM.
Mais... situation cocasse qui a peut-être mis fin aux discussions prématurément (ou pas), les autorités françaises soulignent que l'ANSSI doit auditer la solution pour s'assurer de l'absence de backdoor. Et le gros hic, c'est que Hacking Team semble avoir pour coutume de backdoorer ses backdoors...
Plus anecdotique, un associé d'un capital risqueur localisé en France (qui compte par exemple la plateforme de crowdfunding Leetchi à son catalogue) au cours d'échange avec l'équipe d'Hacking Team, semble vouloir mettre au point une stratégie pour discréditer des publications de Wikileaks sur Hacking Team. Ce dernier leur propose un super plan de comm' pour redorer le blason de la société italienne en insistant par exemple sur le fait que les solutions d'hacking team servent à lutter contre les pédophiles et les trafiquants de drogue... deux catégories de criminels très actifs à Oman et au Soudan ? Bref, le coup du stylo traqueur de pédophiles d'Amesys, c'est un peu comme la botte de Perceval, l'important c'est de ne rien lâcher, quitte à passer pour un con.
