Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Hacking Team : tenter de voir plus loin

Difficile de s'extraire des petites histoires contenues dans les plus de 400 Go de données extraites de Hacking Team. Les anecdotes sont tellement multiples et parlantes, les listes de clients tellement intéressantes, que tous les journalistes qui creusent ce sujet s'empressent de les raconter. C'est édifiant.

Difficile de s'extraire des petites histoires contenues dans les plus de 400 Go de données extraites de Hacking Team. Les anecdotes sont tellement multiples et parlantes, les listes de clients tellement intéressantes, que tous les journalistes qui creusent ce sujet s'empressent de les raconter. C'est édifiant. Mais peut-être devons nous prendre un temps pour essayer de tirer des enseignements de l'ensemble, tenter, si cela est possible de faire un peu de prospective en ajoutant les précédents comme Amesys ou Qosmos, largement traités dans nos colonnes.

Les entreprises du secteur de la surveillance électronique sont toutes en relation. Elles prospectent en s'aidant mutuellement, pourvu qu'il y ait un contrat juteux à la clef. Peu importe le pays, sa conception des Droits de l'Homme, rares sont ceux qui ne sont pas prospectés à un moment ou un autre. On trouve aussi des alliances étranges sur un plan géopolitique, comme une entreprise israélienne qui part à la chasse au client avec Hacking Team au Kazakhstan. Les exemples en ce sens sont nombreux. Les entreprises sont internationales, ne connaissent visiblement ni frontières, ni ne tiennent compte de géopolitique.

Autre sujet intéressant, peu importent les législations, les sociétés du secteur s'adaptent. Elles consultent des juristes et font en sorte de ne pas se mettre dans une situation trop délicate. L'accord de Wassenaar prend en compte des produits vendus par Hacking Team ? Pas de souci, on demande à des juristes de plancher, on publie un communiqué de presse disant que l'on s'y conforme. S'il y a un petit problème sur un pays, on essaye de l’aplanir pour ne pas perdre le contrat.

Attention aux pédo-nazis

Qosmos, Amesys ou Hacking Team ont aussi leur générateur de discours marketing et de discours pour les relations avec la presse. En gros, le monde doit savoir que nous vivons dans un environnement très angoissant, truffé de terroristes, de malfrats en tous genre, de mafias dangereuses. Ces entreprises sont là pour nous protéger. Elles ne vendent qu'à des agences gouvernementales qui ont pour vocation de protéger le public. Si un journaliste ou un activiste tente de pointer du doigt les opposants d'un régime ciblés par les outils en question, on se tient au discours officiel en ajoutant que tout cela est secret, pour ne pas compromettre les enquêtes en cours. Amesys avait déjà tenté le coup avec l'affaire du stylo permettant de lutter contre les pédophiles et les terroristes. Rien de neuf sur ce plan chez Hacking Team. C'est une sorte de continuité. Hacking Team a peut-être appris de ses échanges variés avec Amesys, puis Nexa Tech, Bull, Advanced Middle East Systems ou Qosmos  qui ressortent dans les 400 Go ?

Tous pour un et ... Tous contre tous

Bien entendu, on chasse en meute, comme on dit chez les commerciaux. Mais on essaye aussi de se tailler des croupières. Dans cet aspect des choses, on découvre que le nationalisme mis en avant par ces entreprises n'est pas toujours aussi bien respecté que ce que l'on pouvait attendre. Et cela a des répercussions pour chaque pays.

Prenons un exemple. Imaginons une société qui vend des zero-days et qui, bien entendu fournit à l'Etat duquel elle est originaire ce genre de prestations. Elle se met à en vendre à Hacking Team. Hacking Team vend à d'autres Etats, pas forcément amis avec le premier. Qu'advient-il ? Le premier finit probablement par se faire pirater avec des outils qui ont ainsi circulé. Ce sujet de la migration fantôme de ces outils a déjà été abordé sur Reflets. Il trouve dans ces 400 Go sa confirmation.

Les échanges de mails au sein de Hacking Team démontrent par ailleurs que l'entreprise n'hésite pas à chasser des anciens salariés de Vupen, vendeur de vecteurs d'attaque numériques. Pourtant, les deux entreprises ont eu des relations commerciales auparavant. Elle évoque même la possibilité de racheter Vupen lorsque celle-ci est à vendre. On parle de 10 à 15 millions d'euros. Business is business.

Externaliser ?

L'externalisation d'activités plus ou moins militaires, en tout cas ayant trait au renseignement, pose souci. C'était le sujet d'une conférence de Pas Sages en Seine, avant la divulgation des 400 Go de Hacking Team. Ces activités relèvent d'une sujet régalien. Les Etats ont toujours pratiqué l'espionnage et les activités plutôt en dehors du cadre légal. Cela doit il, sous couvert de rationalisation financière ou de savoir-faire prétendument unique, être délégué à des entreprises commerciales privées ? Ne serait-il pas plus prudent de conserver ces activités de création d'armes numériques au sein d'entités gouvernementales, qui elles, auraient éventuellement à rendre des comptes si elles étaient découvertes en train de violer la loi ? Jusqu'ici, Amesys et Qosmos s'en tirent bien sur ce plan. L'Etat français aussi, alors qu'il a soutenu leurs activités. Des accords commerciaux gagnant-gagnant en somme.

Le cantonnement de ces activités à des services de l'Etat réduirait également probablement l'exportation de ces armes vers des pays fâchés avec les Droits de l'Homme.

On peut rêver. Non ?

1 Commentaire
Une info, un document ? Contactez-nous de façon sécurisée