Microsoft et Ben Ali : Wikileaks confirme les soupçons d’une aide pour la surveillance des citoyens Tunisiens

Près de six mois après que l’affaire ait été publiée dans Rue89 et savament étouffée par les services de Microsoft, et à peine une semaine après la promotion de la principale instigatrice, alors DG de
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

Auteur: Fabrice Epelboin

Ancien directeur de publication de ReadWriteWeb France, cofondateur de plein de trucs, e-guerillero fi Tounes, spécialiste intergalactique de l'infowar, réincaranation de Nostradamus tous les 26 du mois par temps agité à très agité.

52 thoughts on “Microsoft et Ben Ali : Wikileaks confirme les soupçons d’une aide pour la surveillance des citoyens Tunisiens”

  1. Merci beaucoup pour cet article, c’est atterrant…
    Business is business, disent-ils, mais ça me donne la nausée.
    Tant que l’argent rentre, des opposants peuvent être arrêtés, torturés, exécutés ou jetés en prison, ils n’en ont rien à faire.

  2. Je sais pas quoi dire, c’est un argument fort contre la firme de Redmond. Ça donne des arguments techniques et des arguments moraux pour ne pas utiliser leurs produits, même gratuits (Internet Explorer)

  3. Et puis, après l’histoire avec DigiNotar aussi…

    Moi, je crois que je vais aussi faire un peu de ménage dans les certificats SSL (ceux autorisés par défaut).

    C’est bien gentil que soient acceptés par défaut des certificats, mais il en suffit d’un seul pour réduire à néant tout le système (basé sur SSL). Et, plus ils sont nombreux, et plus la probabilité de pouvoir tomber sur un certificat falsifié augmente !

    1. Oui. Le problème étant que le ménage n’est pas à la portée de tout le monde. Y compris d’utilisateurs « avertis »… qui se penchent au final assez peu sur la question des certificats, des autorités qui les délivrent… sauf au moment de se connecter au site des impôts !

      (accessoirement, je trouve de plus en plus que Balmer a une tête « d’idiot du village ». Faut croire qu’il cache bien son jeu, ou qu’il est bien entouré, au choix))

      1. Je confirme, même pour un utilisateur averti, ça demande beaucoup de travail de recherche. J’en avais rencontré un qui avait commencé ça après avoir découvert l’affaire Microsoft et qui a fini par laisser tomber faute de temps. Il y a quelque chose de pourri au royaume des autorités de certification.

        Saluons – une fois n’est vraiment pas coutume – l’attaque DDoS faite par Anonymous sur l’autorité de certification Hollandaise qui avait permis au gouvernement Iranien de faire grosso modo la même chose que ce que Microsoft a fait avec Ben Ali. Pour le coup, le DDoS me semble une réponse appropriée (ce qui à mon sens n’est quasiment jamais le cas).

      2. C’est à hurler de voir des autorité de certifications signer des faux! Quelqu’un peut m’expliquer à quoi elle servent sinon à justement authentifier d’autres certificats !?

        Et pendant ce temps CaCert n’est toujours pas installé par défaut dans le trousseau Mozilla… (du coup j’utilise les Class1 gratuit de StartSSL)

      3. C’est clair que « faire le ménage » dans les certificats SSL installés dans sa machine, ce n’est pas évident…

        J’aurais envie de dire : comme pour un pare-feu, on bloque tout et ensuite on ajoute des exceptions. Mais, à vrai dire, je ne sais pas trop. Il faudrait avoir des critères pour choisir. Et que faire si on savait qu’une autorité de certification n’était pas digne de confiance, mais que ce sont les certificats issus de cette autorité qui sont imposés pour pouvoir communiquer de manière « sécurisée » ?

        Et puis moi, ce qui me surprend vraiment, c’est cette sorte de silence de la « communauté des autorités de certification » ! Je ne suis pas un spécialiste, mais je ne comprends pas que ça ne « gueule » pas plus chez les autorités de certification. Parce que c’est vrai, si je ne me trompe pas : à chaque fois qu’une autorité (que ce soit Microsoft, DigiNotar, etc.) falsifie des certificats, ça réduit à néant la totalité du système. Il me semble que, quand une autorité falsifie, c’est l’ensemble des autorités qui est concerné. Sinon, qu’est-ce que ça signifie ?

        Est-ce que c’est un peu comme l’utilisation faite par certains des « certifications Qualité » : ça a une « signification technique », mais c’est tout. Est-ce qu’il ne faudrait pas qu’il y ait un « label » pour les autorités de certification qui ont un comportement responsable, qui sont dignes de confiance, etc. ? Et évidemment, le seul et unique but de ce « label » sera d’exclure toute autorité qui risquerait de compromettre la confiance (en émettant des certificats falsifiés par exemple).

  4. Et si il n’y avait que microsoft. Tout les grands de ce monde (économiquement parlant je veux dire) sont quasi tous coupable de tel ou tel crime. Sérieux ça leur arrive d’avoir une conscience des fois ?
    « Monde de merde »

  5. @Trust in me

    oui, il faudrait faire un grand ménage, mais ça m’a l’air très compliqué. J’en avait longuement parlé avec un spécialiste qui considérait que c’était les écurie d’Augias et qu’à défaut d’avoir un Hercule sous la main…

    Un plugin dans le navigateur pourrait peut être apporter un début de réponse et faire office de label de qualité… Il faudrait que quelqu’un se saisisse de ça. Peut être un truc à proposer à l’EFF, ils ont fait un super boulot avec HTTPS everywhere, même si techniquement, c’est bien plus simple, c’est dans le même esprit…

  6. « Peine perdue : même en imposant le chiffrement, le gouvernement, grâce à Microsoft, pouvait dérober les logins et les passwords des citoyens Tunisiens afin de lire leur correspondance, repérer leurs amis et les réseaux d’activistes, voir même prendre la parole à leur place. »

    Hormis les faits qui montrent que cela c’est bel et bien produit, cette affirmation laisse à penser que des backdoors micro$oft sont opérationnelles et exploitées. Existe-t-il des preuves ou juste des suppositions ? Est-ce que ce ne serait-pas plutôt de simples hack ?? (vu les centaines de failles)

    Reste le débat sur « le fait de laisser autant de failles équivaut à laisser de nombreuses backdoors », mais le détail a son importance vu le nombre de postes windows dans le monde…

    1. Heu… non, pas de backdoor à proprement parler, juste le fait que les Tunisiens aient, pour pouvoir utiliser l’eadministration notamment, mais également les postes de travail au sein de l’administration et dans de nombreux endroits, aient été obligé de passer par Explorer, que celui ci accepte sans rien dire l’autorité de certification Tunisienne, qu’il recharge sans rien dire les certificats au cas où on les aurait retiré, et qu’en couplant ce fait avec du DNS poisening (cf billet d’Amamou de juin 2010 sur RWW), on peut très facilement faire du phising, https ou pas.

      Donc oui, c’est ‘un simple hack’ mais un hack qui n’aurait pas été possible sans cette arnaque sur l’autorité de certification Tunisienne, l’imposition des logiciels Microsoft partout, et très certainement une formation intensive fournie par Microsoft à la cyber armée Tunisienne.

  7. Waouh… C’est juste incroyablement vil et infect.

    Voilà qui me conforte sur deux points:
    1. Tout a un prix.
    2. Les sociétés, quel que soit leur domaine d’activité, n’ont pas de conscience.

    Ce qui compte ce sont la croissance du CA et le bénéfice par action à la fin de l’année et rien d’autre.

    La question que je n’arrive pas à résoudre est la suivante : les entreprises sont composées d’individus ayant chacun une conscience de ce qui est ‘bien’ ou pas. Comment se fait-il qu’au sein de l’entreprise tout cela disparaisse ? Est-ce dû à l’effet mis en évidence par Milgram au débût des années 1960 ?

    1. Attention, hein, on n’est pas du tout dans le cas de Bull, on est dans les malveersation faites au sein d’une dictature bien installée. La DG de Microsoft qui a mis en place le deal était adolescente quand Ben Ali est arrivé au pouvoir, elle a vécu toute sa vie d’adulte dans un monde intégralement corrompu, et elle est issue d’un milieu modeste apparemment, avec comme ‘modèle’ de réussite, Leila Ben Ali/Trabelsi, coiffeuse de son état. Milgram lui s’intéressait au déviance dans un petit groupe, là c’est autre chose…

      Sinon, pour fréquenter Google régulièrement, ce ne sont pas des saints, mais cette baseline ‘don’t be evil’, même s’il n’est pas toujours respectée, est tout de même un garde fou assez interessant. Tout le monde y est conscient quand une ligne jaune est franchie là où dans d’autres boites, la dérive doit pouvoir se faire de façon plus douce et discrète…

  8. N’oublions pas que Sarkozy a remis à la légion d’honneur à Balmer ! Un type pourtant pas réputé pour sa compétence, même chez Microsoft ! Alors, ils ont donné quoi en échange ? (car en ce bas monde, rien n’est gratuit et surtout pas avec Microsoft )

  9. Microsoft a violé impunément les entreprises tunisiennes avec la bénédiction du gouvernement. En contrepartie de quoi ? De quelques déclaration et visites de responsables de Microsoft, et de projets « poudre aux yeux » initiés par cette entreprise.
    Une démonstration éloquente que les les autorités américaines et leurs entreprises n’ont aucun scrupule à s’adapter aux usages des gouvernements, soient-ils non démocratiques.

    1. Honnêtement, si tu lis le cable, les autorité américaine sont très clairement choqués de l’attitude de Microsoft et ont essayé de savoir ce qu’il en était mais n’ont pas réussi à obtenir le contrat que Microsoft a obstinément refusé de leur fournir. Ce ne sont pas des anges, hein, mais sur ce cas précis, il est difficile de les incriminer.

  10. Je ne doute pas une seconde que Microsoft a collaboré d’une manière ou d’une autre à la cyber-surveillance sous le régime de Ben Ali. Et je ne peux que féliciter votre travail d’investigation, qui a largement contribué au débat sur la question.

    Néanmoins, si l’on tente d’être aussi objectif que possible: il faut bien admettre que malgré divers documents (j’ai lu en détails les câbles Wikileaks à ce sujet), on demeure malheureusement encore au stade de la supposition. J’espère qu’on aura prochainement des preuves plus tangibles à ce sujet.

    Mais si je rédige ce commentaire, c’est surtout pour vous poser une question: j’ai parfois l’impression que vous sous-entendez que l’opération de cyber-espionnage (de phishing, notamment) mise en oeuvre par la cyberpolice tunisienne ne fut possible que pour les internautes utilisant le navigateur Internet Explorer?

    Comme vous le savez certainement, de nombreux internautes tunisiens (dont des cyberactivistes très médiatisés) utilisant un autre navigateur que IE, et même pour certains d’un autre eux un Mac, ont été victimes du piratage de leurs comptes e-mail, Facebook et Twitter. Je ne suis pas certains que faire de Microsoft la pierre angulaire de la matrice de contrôle de la cyberpolice tunisienne soit le meilleur moyen de la comprendre dans toute son étendue et sa diversité.

    1. La preuve n’est pas du tout dans le cable Wikileaks, elle est ici : http://news.ycombinator.com/item?id=2138565
      C’est absolument certain. Si vous connaissez un peu les problématiques de certificats de sécurité, c’est ce que l’on appelle un ‘smoking gun’.

      Sinon, non, les certificats ne sont pas au niveau d’IE mais dans Windows, la seule différence c’est qu’en allant sur un faux Facebook/phising avec IE, il n’y a aucune alerte, alors que FF et les autres auraient alerté l’utilisateur sur un certificat bizarre, mais il faut reconnaitre que la plupart des utilisateurs aurait validé le message sans faire attention. Avec un Mac, on aurait aussi eu un message d’alerte sur le certificat.

      1. Cela prouve en effet que Microsoft a donné un blanc-seing au gouvernement tunisien pour certifier les sites tunisiens à sa guise (facilitant de facto d’éventuelles opérations de phishing). Autrement dit que Microsoft a adopté la posture suivante: « faites ce que vous voulez avec cette liberté d’authentification qu’on vous laisse, ce n’est pas nos oignons ». Ce qui est évidemment condamnable (Microsoft n’est pas le seul sur ce point, cependant) et nécessite d’être dénoncé.

        Mais votre analyse, me semble-t-il, dénonce des responsabilités plus importantes encore de la part de Microsoft, sous-entendant une collaboration plus active de Microsoft. Vous avez notamment écrit :

        « Le hasard faisant bien les choses (quand on lui force un peu la main), le contrat était publié deux jours après l’article de Rue89, montrant très clairement une surévaluation phénoménale du prix des licences vendues au gouvernement Tunisien destinée à masquer le prix d’une collaboration avec la dictature dans la répression numérique, ainsi que, explicitée de façon très détaillée, une formation intensive de la cyber armée de Ben Ali. »

        On dispose par exemple de peu d’informations tangibles concernant les formations apportées (le contrat n’évoque bien sûr pas ce qui ressemblerait à « une formation intensive de la cyber armée de Ben Ali. »).

        Cette nuance apportée, j’insiste sur le fait que je ne cherche pas ici à dédouaner Microsoft de responsabilités évidentes, mais simplement à distinguer ce qui est avéré de ce qui est possible. Tout en rappelant aussi que, en Chine par exemple, Firefox a lui aussi collaboré (CNNIC accepté par Mozilla comme autorité de certification)
        [Mis à part, à ma connaissance, Google Chrome utilise les certificats de Windows, donc les mêmes que ceux qu’utilisent IE, mais ceci n’est bien sût pas une critique vis-à-vis de Google qi, sur ce coup tout au moins, ne peut être accusé de collaboration].

        Je demeure convaincu que la police du net avait plus d’un tour dans son sac pour pirater à large échelle les comptes des internautes tunisiens (autre que la « vieille » méthode consistant à engager à la prestation des hackers étrangers). Je doute que des cyberactivistes n’utilisant pas IE ou Google Chrome et habitués à devoir faire preuve de vigilance (LBN, Sofiene Chourabi, etc.) ont vu leurs comptes hackés parce qu’ils auraient simplement validé à la va-vite ces alertes.
        De façon plus évidente encore, pour ce qui est de Facebook, il ne faut pas oublier non plus que nombre d’internautes tunisiens se connectaient à Facebook sans passer par le https (et donc, ici, les opérations de phishing qui ont eu lieu n’ont pas de lien avec les certifications et donc avec Microsoft). L’intervention très médiatisée des responsables sécurité de Facebook pour imposer le https est venue assez tardivement.

        Merci à nouveau pour cette précieuse enquête (heureusement que des personnes comme vous prennent la peine de s’attarder sur ce type de problème) qui, je l’espère, conduira à davantage encore d’éclaircissements à l’avenir.

        1. Cela prouve en effet que Microsoft a donné un blanc-seing au gouvernement tunisien pour certifier les sites tunisiens à sa guise

          Non, non, pas que Tunisiens, ils étaient en mesure de faire de faux certificats pour de faux Facebook ou de faux Gmail aussi ;-) Et là, c’est pas vraiment ordinaire de laisse faire ça :D

          Sinon, si votre point consiste à dire qu’il y a eu plein d’autres techniques utilisées et plein d’autres technologies au service de Ben Ali, oui, c’est certain, on en a chopé pas mal d’autres d’ailleurs, mais dans cet article on s’attarde sur le rôle joué par Microsoft.

          Quand au formations, elles concernent les agents en charge de la cyber sécurité du ministère de l’intérieur. Vous m’avez l’air de connaitre un peu la Tunisie, ça devrait vous suffire, non ?

          On est en 2006, vous formez les cyber flics du ministère de l’intérieur en Tunisie… soit vous êtes complètement con, soit vous savez très bien ce que vous faites et quelles en seront les conséquences…

    1. Argh, j’ai eu un problème lors de l’envoi de ma réponse (je n’avais pas mentionné mon nom et ps moyen de revenir en arrière pour récupérer le commentaire), dont je ne retrouve plus la trace :-(

      Pas le courage de la réécrire dans les détails, mais disons que je suis d’accord avec vous sur le fond, que je partage vos soupçons, mais que je persiste à penser qu’on a besoin de plus d’infos sur le type de criminalité contre laquelle Microsoft formait des « experts » tunisiens. Si on a la preuve qu’il s’agissait aussi explicitement, en toute connaissance de cause, de les aider à mieux étouffer les voix alternatives, alors c’est ici selon moi que se situerait le plus grand scandale (car il s’agirait bien plus encore qu’un blanc seing). Si on obtientdes révélations concrètes sur la taille, la composition et l’organisation des effectifs de la cyberpolice tunisienne (les responsables de l’ATI ne cessant de répéter qu’ils n’étaient pas en contact avec celle-ci, qui utilisaient néanmoins ses machines), alors peut-être y verra-t-on un peu plus clair à ce sujet.

      D’autre part, je trouve un peu dommage que, parce que Microsoft est un géant et un ennemi du logiciel libre, le débat – je ne parle pas de vous, vous avez raison de vous concentrer sur cette question – se focaliser sur cette compagnie. Je constate par exemple qu’experts et cyberactivistes trouvent de moins en moins « sexy » de chercher à mieux comprendre le degré d’implication de sociétés comme McAfee (qui, à l’évidence et comme l’a notamment confirmé le directeur de l’ATI, ne faisaient pas que vendre « clé-en-main » Smart Filter). Il serait bon aussi de connaître les deux mystérieuses sociétés dont le nom n’a pas été révélé en raison d’une clause de confidentialité…

      1. L’ATI n’y est en effet pas pour grand chose, ils se contentaient de maintenir des machines qui étaient contrôlées et utilisées à partir d’un autre emplacement – vraisemblablement à partir du Palais Présidentiel.

        Pour ce qui est de Smart Filter, ils ont été dénoncé, et quant à la boite mystérieuse dont ils ne veulent pas donner le nom du fait d’un contrat de confidentialité, c’est Bull, et on leur est aussi tombé dessus, comme quoi il n’y en a pas que pour Microsoft.

        Pour ce qui est d’un enquête officielle, ce n’est pas gagné, Microsoft a obtenu d’équiper la comission en charge de l’enquète avec ses technologie, nul doute qu’il bloqueront l’enquête, d’autant qu’il sont toujours les bénéficiaires des contrats signés durant l’ère Ben Ali et recoivent toujours des paiements chaque année, comme en témoigne le budget de l’Etat publié en début d’année 2012.

        Pour le reste, l’enquête progresse, mais à ce stade, il y a déjà suffisament d’éléments pour passer à une étape juridique auprès d’instances internationale, tout comme avec Bull, qui est déjà sous le coup d’une plainte pour complicité d’acte de tortures, déposée par la FIDH en début d’année.

        1. Autant pour moi, je n’étais pas au courant pour Bull (qui figuraient il est vrai parmi les suspects principaux). Très bonne nouvelle, si je puis dire…

          Concernant, l’ATI, le fait que les machines de l’ATI étaient utilisées par une tierce partie vraisemblablement rattachée au Palais et au Ministère de l’intérieur (il a d’ailleurs été questions de deux équipe, une rattachée au palais, l’autre au MI), on n’est malheureusement pas plus avancé sur ce sujet. Déjà bien avant la « révolution », c’est ce que certains experts et activistes présupposaient (je l’avais d’ailleurs écrit dans un article rédigé en 2009 de la revue terminal, ne faisant que partager sur ce sujet les suppositions de l’OLPEC), malgré la focalisation sur les employés de l’ATI (qui fut aussi il est vrai pour certains une façon plus prudente de dénoncer la censure, sans s’attaquer de front au régime de Ben Ali). L’ATI a confirmé ces suppositions, mais on n’a malheureusement pas davantage de détails sur cette mystérieuse cyberpolice.

          Merci en tout cas pour ce travail d’investigation, bonne continuation!

          1. Si, si, on en sait beaucoup plus, mais on n’a pas encore le dossier complet. Le team de ‘hackers’ est désormais estimé à une soixantaine de personnes, pas plus, contrairement à ce qui avait été annoncé avant la révolution où les estimations allaient jusqu’à 500.

            En pratique, il convient de faire attention à distinguer plusieurs choses pour éviter la confusion :

            1) il y avait des hackers au service du ministère de l’intérieur et de la présidence (une soixantaine, donc).
            2) il y avait des ‘community managers’, ce qui n’a rien a voir mais ceux-ci on eu un rôle essentiel dans la mise en place d’un régime de terreur sur le web durant Zaba.
            3) il y avait aussi des agents en charge de la veille et du renseignement (bon nombre d’entre eux étaient d’ailleurs des étudiants en France, pour qui cette tâche était la contrepartie de l’obtention d’une bourse d’étude à l’étranger).

            En tout on est très certainement bien au delà des 500 personnes, surtout si on compte les ‘renforts’ en terme de ‘community management’ issus du RCD et mobilisés durant les périodes electorales.

            Ensuite, il faut aussi faire très attention à distinguer deux fonctions :
            1) la censure – un procédé assez simple, techniquement parlant, l’acteur principal étant SmartFilter, mais pas que.
            2) la surveillance – qui a démarré très tôt (fin des années 90), avec des procédés très artisanaux, et qui est devenu de plus en plus sophistiquée, le summum étant sans doute l’installation de système Amesys (à priori dans un timing comparable à l’installation de Tripoli), et qui a été prouvé lors de la publication d’une notice d’utilisation de Eagle faisant apparaitre des emails de citoyens Tunisien sous surveillance (ici)

            Il est essentiel de faire cette distinction, même si au yeux des spécialistes, tout cela est assez clair, le grand public a tendance a confondre censure et surveillance, ce qui n’aide pas du tout.

          2. Comptez-vous publier un dossier sur le sujet? Car d’après les diverses révélations que j’ai consultées, il y a encore pas mal de contradictions et d’approximations. Concernant par exemple le nombre de hackers que vous estimez à 60, quelle est votre source? J’ai vu plusieurs nombres circuler (autre que le fameux nombre de « 600 » qui ne cessait de circuler avant le 14 janvier, sans qu’on n’en connaisse véritablement l’origine). Et pourquoi les appelez-vous « hackers »? Ils n’étaient pas « que » des hackers à mon avis: la censure ne fonctionnait pas que de façon automatisée, et nécessitait aussi des interventions humaines (ne venant pas des deux autres types d’acteurs que vous avez mentionné). Nous n’avons que des demi-preuves à ce sujet, mais parmi les différentes catégories de hackers mobilisés, il n’y avait probablement pas que des permanents: des mercenaires étrangers travaillant à la « pige » (surtout au début des années 2000), mais aussi peut-être des jeunes (étudiants du RCD): http://bit.ly/INySPt

            Concernant les ‘community managers’, là aussi on dispose de peu d’éléments: il faudrait faire la distinction entre les zêlés du RCD (quelques uns ausis sur les blogs, d’ailleurs), les assermentés (y compris, éventuellement, les (pseudo ou non) »islamistes » de la côte ouest, mais là aussi malgré votre enquête de l’époque, on en demeure au state de l’hypothèse sur le degré d’implication des autorités derrière les campagnes de signalement de profils FB, notamment).

            Concernant la distinction entre censure et surveillance (auxquels je rajouterai le piratage, même si celui-ci peut entre autres conduire à une forme de censure – effacement de compte, de contenus, etc. – et de surveillance), il est certes important de la faire, mais il faut bien comprendre qu’elles sont souvent intimement liées: la censure découle de la surveillance (« artisanale » et sophistiquée), même si cette surveillance à d’autres conséquences bien entendu…

            L’ordre numérique instauré sous Ben Ali était extrêmement complexe, et les catégories d’acteurs qui y ont contribué sont à mon avis très variées. On pourrait encore ajouter à cela ce que j’appelle les « Big Mammas »: les administrateurs et modérateurs de forums et d’autres espaces collectifs, amenés malgré eux à relayer la surveillance et la censure – et rappeler à l’ordre. Cela pour maintenir l’espace accessible en Tunisie, mais aussi pour éviter des difficultés plus importantes.

  11. Je n’avais pas vu que vous aviez aussi mentionné les renforts du RCD pour les « community management ».

    En tout cas, si vous publiez prochainement un dossier sur le sujet, je le lirai avec un grand intérêt.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *