Maroc : Popcorn, le projet qui n'existait pas

Moralité, ne jamais croire un pays fâché avec les droits de l'homme

Le Maroc affirmait en 2015 qu'Amesys n'avait jamais rien déployé sur son territoire et s'en prenait sur un plan judiciaire à ceux qui l'affirmaient. Surprise, voici les détails du projet Popcorn que nous avions déjà longuement abordé dans nos colonnes.

En Mai 2015, le ministère de l'Intérieur marocain a porté plainte contre des journalistes et des opposants qui avaient évoqué un achat par le Royaume d'un Eagle d'Amesys, un projet baptisé Popcorn. Selon le ministère, tout cela n'était que menteries. Pourtant, dès la fin de l'année 2011, nous avions déjà évoqué « Popcorn » dans nos colonnes. Ce nom de code était utilisé par la société française Amesys — et l'est toujours par les entreprises qui lui ont succédé, AMES et Nexa — pour désigner le Maroc, l'un de leurs clients.

Ce déploiement d'un système de surveillance d'Internet, basé sur la technologie Eagle d'Amesys puis de Nexa, s'est déroulé en deux étapes. La première, très certainement un prototype, a été le fait d'Amesys dès 2010, la seconde, un upgrade des capacités d'interception, celui d'AMES et de Nexa préparé dès l'année suivante.

Reflets.info a pu consulter un document, émis par Nexa à destination d'AMES en 2012, qui décrit dans le détail la mise en œuvre du projet Popcorn. Présenté en introduction comme un système « Internet Légal » (sic), Popcorn vise à doter l'autorité marocaine de capacités d'interception globales des communications Internet du pays. Cette interception est qualifiée de "LI", ou Lawful Interception. Cela signifie que les interceptions se font dans un cadre légal et qu'il ne s'agit pas de tout intercepter pour faire le tri sans aucun filtre administratif. En tout cas dans un cadre démocratique. Le Maroc a maintes fois été pointé du doigt par les ONG défendant les Droits de l'Homme, et notamment pour son usage de la torture afin d'obtenir des aveux. Il y a donc LI et LI... Y compris dans certaines démocraties qui se font les championnes de la défense des Droits de l'Homme.

L'architecture du système vise deux catégories d'interceptions : les interceptions « live » et la collecte de CDR (Call Detailed Record ou enregistrement des détails des appels), c'est à dire les métadonnées relatives aux échanges d'emails, aux chats, etc. Qui parle à qui, à quelle heure, à quel sujet, grâce à quel protocole ou logiciel. Le système est alimenté en données fraîches par des sondes DPI (Deep Packet Inspection : lien) placées sur le réseau des fournisseurs d'accès à Internet du pays, ainsi que par des liens RADIUS fournis par les mêmes FAI et qui permettent d'identifier les abonnés. Ces informations passent ensuite à travers différents étages d'extraction, d'analyse et de stockage. Le système, après l'upgrade de 2012, est capable d'absorber une bande passante de 240 Gpbs.

Le déploiement du système concerne trois implantations, en fait trois sites du principal fournisseur d'accès à Internet marocain, Maroc Telecom : Soekarno et Les Orangers à Rabat, et Anoual à Casablanca. Au total, ce sont 19 châssis — qui contiennent d'après nos informations 14 serveurs chacun — qui seront équipés du système Eagle, soit un ensemble de 266 serveurs. En 2015, lorsque nous évoquions la vente d'un Eagle au Maroc, nous avions publié des extraits de notes de frais des développeurs d'Amesys lorsqu'ils étaient à Rabat pour installer le système. Si le système Eagle est physiquement installé dans les locaux de Maroc Telecom, il concerne en réalité plusieurs FAI. En effet, l'architecture prévoit deux flux distincts : l'un pour le traitement des Interceptions 100 % Eagle, le second pour celles provenant de « tierces parties ». Au final, les données collectées sont analysées et stockées au même endroit : au cœur du système Eagle.

Des développements spécifiques

Dans le document, on peut lire que la capacité de calcul disponible étant « très limitée », Nexa devra « réécrire en profondeur » le module de décodage dédié à Facebook. En complément, Nexa s'engage à mettre au point des décodeurs additionnels, y compris pour la voix et la vidéo, pour MSN Messenger, Paltalk, Yahoo Messenger, ICQ et GTalk. Il s'agit d'une obligation de moyens, et non de résultats, Nexa précisant prudemment, que s'agissant d'une prestation de « rétro-ingénierie », son équipe ne peut garantir le succès de la prestation, qui sera néanmoins facturée près d'un demi million d'euros aux autorités marocaines.

Autre innovation « spécifique au projet Popcorn », le « live target monitoring », qui permet de suivre en temps-réel « l'activité d'une cible sur Internet ». Pour proposer cette nouvelle fonctionnalité, Nexa envisage une adaptation de l'architecture du système Eagle qui, pour ce type d'interceptions uniquement, court-circuite l'étage de traitement habituel pour retransmettre les informations en temps réel à l'utilisateur. Nexa prévoit aussi, pour répondre à « une demande spécifique du client final », de créer des « groupes » permettant de regrouper jusqu'à 1500 cibles. Enfin, comme le client est roi, le système permettra de déclencher des alarmes lorsque différentes cibles communiquent entre elles.

Certains documents consultés par Reflets.info et qui mentionnent le projet Popcorn font état de montants payés à Nexa par la société Al Fahad Smart Systems. Elle collabore donc avec cette entreprise sur le projet Popcorn. Al Fahad a été pointé du doigt lors de la fuite de données de l'entreprise Hacking Team pour avoir revendu au Maroc certains logiciels. Parmi les entreprises controversées qui ont vendu des produits au Maroc permettant d'espionner des journalistes, on retrouve aussi Gamma Group avec son produit Finfisher. Gamma Group que l'on retrouve dans la liste des clients de Nexa. Le monde est petit.

Mais revenons à Popcorn. Entre l'installation, la configuration, les développement spécifiques, les adaptations, la formations des 42 (ça ne s'invente pas) utilisateurs du système, la licence Eagle, et la gestion de projet, Nexa Technologies facturera 2,7 millions d'euros à AMES.Cette dernière les répercutera à son tour sur le client final. C'est Nexa Technologies, une entreprise française, qui exécutera l'ensemble des prestations d'ingénierie, qui représentent 2660 jours facturés d'ingénierie, dont au moins 700 jours effectués sur site, au Maroc. Le client final devra s'acquitter d'une note beaucoup plus salée. Après avoir ajouté plusieurs millions d'euros de dépenses additionnelles diverses, notamment de matériel, dont 1,3 millions d'euros d'achat de stockage chez DDN pour une capacité de 1,5 pétaoctets (1 500 000 gigaoctets), de sondes d'interception, etc., AMES aura facturé 7,5 millions d'euros au Maroc. Et dégagera une marge d'un million d'euros.

Pas trop mal, 13% de marge, mais peut mieux faire... Nous verrons dans un prochain article que la rentabilité financière des projets de Nexa Technologies a ensuite beaucoup progressé.

Notre dossier "Armes de surveillance de masse françaises : révélations sur les coulisses d'un commerce mortifère" :

• La liste des clients de Nexa/Amesys s’allonge : de la DCRI à la Belgique en passant par la Turquie
• AMES, Nexa : bienvenue sur la planète Salies
• Maroc : Popcorn, le projet qui n'existait pas
• Maroc : le Popcorn a explosé sous François Hollande
• Qatar : les Fingers de Mr Qatbury
• Pour la plupart des développeurs d’Eagle, travailler sur un tel outil ne crée ni débat ni problème de conscience