Espionnage de masse : des sociétés françaises au service de dictatures
►http://abonnes.lemonde.fr/societe/article/2013/10/28/espionnage-de-masse-des-societes-francaises-au-service-de-dictatures
Les deux journalistes du Wall Street Journal sont entrés avec précaution, le 29 août 2011, dans le vaste hall de l’immeuble. Il s’ouvre sur une grande salle déserte, propre et obscure ; une photo géante et souriante de Mouammar Kadhafi pend de travers dans un couloir. – le régime est tombé une semaine plus tôt, le Guide est en fuite quelque part, il n’y a plus grand monde au centre de surveillance libyen, un bâtiment de six étages au coeur de Tripoli.
Dans un petit bureau, un fauteuil défoncé, deux sofas horribles et un cendrier plein. Plus loin, les salles d’espionnage. Froides, modernes, grises et noires, façon Pentagone sauf que la table est hexagonale, et que le désordre est indescriptible. Des cartons en vrac, des documents passés en hâte à la broyeuse, des centaines de dossiers, de cassettes, des morceaux d’ordinateurs. Et des dossiers d’opposants. Au mur, une carte de la Jamahiriya libyenne, avec cet avertissement en anglais : « Aidez-nous à garder notre travail secret. Ne parlez pas d’informations classifiées hors du quartier général ». Avec le logo d’une entreprise, Amesys, une société française du groupe Bull.
Ce sont effectivement les Français qui ont installé le système d’espionnage libyen, avec une filiale de Boeing, Narus, une société chinoise ZTE Corp, et une sud-africaine, VSTech. Il y a un pense-bête, le nom et les coordonnées du responsable français à joindre en cas de problème technique. Le responsable du « projet Eagle », fort bien résumé sur une affichette du centre : « Où beaucoup de systèmes d’interception d’Internet consistent à filtrer les adresses IP ou à extraire seulement ces communications du flux global (interception légale), Eagle analyse et stocke toutes les communications (interception massive) ».
Amesys est née en 2007 de la fusion de deux petites sociétés, i2e et Artware, spécialisées dans les hautes technologies, avant d’être rachetée trois ans plus tard par Bull, le poids lourd de l’informatique française. Tour de force : c’est le patron de la petite Amesys, Philippe Vannier, qui est devenu le PDG de Bull.… Il avait proposé dès décembre 2006 un système d’espionnage massif aux autorités libyennes, il a lui-même signé le contrat en décembre 2007 à Tripoli, sous l’œil bienveillant d’Abdallah Al-Senoussi, beau-frère de Kadhafi et chef des services secrets libyens – condamné en 1999 par contumace à la perpétuité en France pour son rôle dans l’attentat du DC-10 d’UTA, qui a coûté la vie à 170 personnes.
La société allemande Rohde & Schwarz faisait à l’époque le siège de Tripoli pour les interceptions radio, les Sud-Africains de Saab Grintek, les Allemands de Atis et les Danois de ETI Connect pour les interceptions téléphoniques. Philippe Vannier obtient le marché du Net : un contrat de 26,5 millions d’euros, selon Mediapart, sur lequel l’incontournable intermédiaire des marchés d’armement de l’ancienne majorité, Ziad Takieddine, a touché 4,5 millions de commission.
La surveillance à l’échelle d’une nation
Le système d’espionnage Eagle est, il est vrai, d’excellente qualité. « Le système massif a été conçu pour répondre aux besoins d’interception et de surveillance à l’échelle d’une nation, expose sans détour la plaquette de promotion d’Amesys, publiée par le site Owni. Complètement et facilement connectables aux systèmes existants, les produits massifs conçus par Amesys sont les meilleures réponses à vos besoins. »
Eagle est capable de livrer automatiquement les adresses personnelles et les adresses mail, les numéros de téléphone, les photos des suspects et aussi de faire des recherches par date, heure, numéro de téléphone, mots-clés, géolocalisation, « ce qui permet d’obtenir une vision claire des différentes activités de vos cibles ». Le système déchiffre aussi bien l’arabe que le croate, le tamoul, le japonais que le farsi ou le mandarin. C’est pratique.
Amesys fait appel en 2008 à des anciens de la Direction du renseignement militaire (DRM) pour former les jeunes espions libyens. « Nous leur avons appris comment trouver des cibles dans le flow massif du pays, a indiqué un militaire retraité retrouvé par Le Figaro, et nous avons travaillé sur des cas d’école. Par exemple, comment placer une université sous interception et trouver des individus suspects en fonction de mots-clés. » C’est pédagogique : « On leur avait montré comment trouver tous les Libyens qui allaient sur lefigaro.fr et sur lemonde.fr. » Après trois semaines de formation, les apprentis espions piaffent d’impatience, au point de « planter le serveur » à la fin de l’été 2008 tant le système est sollicité.
Le système Eagle n’est parfaitement opérationnel que début 2010, et commence vite à porter ses fruits. Saleh D. est arrêté le 3 janvier 2011, les services libyens lui mettent sous le nez ses mails sur Yahoo du printemps 2010. Mohamed G. est interpellé le 18 février 2011, les policiers ont avec eux un message qu’il a envoyé à l’ambassade du Canada le 27 septembre 2007, extrait des profondeurs de sa messagerie. Mohamed A. est arrêté le 16 février 2011. « On m’a montré des preuves écrites. Ils m’ont montré des retranscriptions de mes conversations téléphoniques, SMS et copies de mails tirés de ma messagerie. Je ne sais pas par quel moyen ils ont accès à toutes mes correspondances. »
Lire aussi : Des internautes libyens torturés entendus par un juge français
En France, la direction d’Amesys est un peu gênée. Elle explique que « le contrat a été signé dans un contexte international de rapprochement diplomatique avec la Libye qui souhaitait lutter contre le terrorisme et les actes perpétrés par Al-Qaida ». Nicolas Sarkozy a effectivement rendu visite au colonel Kadhafi en juillet 2007, et le dictateur libyen a planté sa tente en décembre dans les jardins de l’hôtel Marigny, la résidence des hôtes de marque, pour sa première visite à Paris depuis trente-quatre ans.
« Le contrat concernait la mise à disposition d’un matériel d’analyse portant sur une fraction des connexions Internet existantes, soit quelques milliers », assurait modestement Amesys en 2011 –– contre l’évidence.
Une plainte pour complicité de torture
La Fédération internationale des droits de l’homme (FIDH) et la Ligue des droits de l’homme ont déposé plainte à Paris contre les quatre sociétés du groupe Amesys le 19 octobre 2011, pour « complicité de torture et autres peines ou traitements cruels, inhumains ou dégradants » –– les juridictions françaises sont compétentes si une personne physique ou morale, accusée d’atrocités quelque part dans le monde, « se trouve en France ». « Amesys a nécessairement eu conscience de l’aide et de l’assistance portée au régime libyen, indique la plainte, et n’a cessé sa collaboration avec ce dernier non pas pour mettre un terme à des crimes, mais en considération du renversement d’alliance entre la France et la Libye. »
C’est peu dire que la plainte a été reçue avec des pincettes. Le procureur de Paris –– sur instructions écrites du procureur général –– a estimé qu’il n’y avait pas lieu de l’instruire, et a soutenu que « les liens contractuels et de coopération ayant existé entre la société Amesys et le régime libyen de Mouammar Kadhafi relèvent uniquement d’actes de commerce ordinaire ne pouvant recevoir de qualification pénale ».
Le juge d’instruction est passé outre, le procureur a cependant fait appel, la cour d’appel a balayé ses arguments le 15 janvier 2013 et ordonné la poursuite de l’instruction, confiée aux trois magistrats du nouveau pôle « génocide et crimes contre l’humanité ». Mais quinze mois ont été perdus.
Qosmos, l’art de la sonde
Eagle, pour analyser les données, a besoin de sondes sur le réseau pour les trier. Cette « brique » technologique permet, par exemple, d’en extraire les métadonnées (qui communique avec qui, quand, et où, sans avoir le contenu même du message –– l’équivalent des fadettes pour les téléphones) ou de bloquer des sites, surveiller les mails et les sites Web, extraire les mots de passe : ce que les informaticiens appellent le DPI, deep packet inspection, ou inspection en profondeur des paquets.
Or, une petite start-up française est justement à la pointe du DPI. Elle s’appelle Qosmos –– de Qos, quality of service, et Mos (mean opinion score), un standard qui permet de mesurer la qualité de la voix sur la Toile. Elle a été fondée en 2000 par cinq chercheurs du Lip 6, le laboratoire d’informatique de Paris-VI, rejoint fin 2005 par un manager qui a fait ses armes dans la Silicon Valley, Thibaut Bechetoille. Il en fait une véritable entreprise, épaulée par l’Etat lorsque le Fonds stratégique d’investissement (FSI), créé par Nicolas Sarkozy pour sécuriser le capital d’entreprises stratégiques, y investit 10 millions d’euros en septembre 2011.
Qosmos se targue de pouvoir extraire plus de 6000 métadonnées du flux Internet, et se dit la meilleure sur le marché. L’ancêtre d’Amesys, i2e, lui passe commande le 12 mars 2007 d’une sonde baptisée Jupiter, qui doit « récupérer l’ensemble du flux d’informations qui a circulé sur le réseau » et être opérationnelle en novembre 2011. Il est convenu de faire un point avec le client tous les vendredis à 11 heures. C’est secret : « La solution sera livrée sans aucune référence à Jupiter, insiste la société, la présence de la marque est une clause de rupture de contrat. »
Qosmos travaille d’arrache-pied mais les résultats sont peu probants. Amesys escompte des débits de l’ordre du gigabit, Qosmos arrive à peine à faire du 10 megabits (cent fois moins), et ne parvient pas à extraire le contenu des correspondances par mail. Amesys opte donc en septembre 2008 pour la sonde d’un fournisseur allemand, Ipoque. Cela permet à Qosmos d’insister aujourd’hui « sur le fait que même pendant la durée du contrat liant Qosmos et Amesys, la technologie de Qosmos n’a pas été opérationnelle en Libye ». C’est vrai, mais ce n’est pas faute d’avoir essayé.
Lire aussi : Qosmos collabore avec le renseignement français
Sur le coup, Qosmos juge la rupture de contrat « inexplicable » et « injustifiée » et confirme au Monde qu’elle a réclamé 80 000 euros de dédommagement à Amesys. Mais le PDG d’Amesys est devenu celui du puissant groupe Bull, et on conseille à Qosmos de trouver « une solution amiable ».
Dans l’entreprise, un homme au moins commence à se poser des questions : James Dunne, un Irlandais de 49 ans, arrivé chez Qosmos en 2005 comme rédacteur technique et devenu au fil du temps responsable de la documentation technique. C’est lui qui met en forme les modes d’emploi pour les clients et, à la différence des ingénieurs qui travaillent chacun sur un bout de projet, il a une vue d’ensemble du produit final.
Il envoie le 24 octobre 2007 un mail au patron, Thibaut Bechetoille, avec tous les salariés en copie, où il s’inquiète de « l’utilisation de la technologie Qosmos à des fins de fichage et interception » et s’interroge sur le « code de conduite éthique » de l’entreprise « quand nous sommes tenus au secret par des clients qui n’existent pas ? » –– c’est-à-dire des clients que seuls les dirigeants connaissent. On le rassure, Qosmos a une attitude responsable et éthique.
En juin 2009, les locaux de Qosmos, désormais classés confidentiel-défense, sont puissamment sécurisés, insonorisés, avec accès individuel par clés électroniques. Qosmos est désormais techniquement à l’abri des oreilles indiscrètes, et juridiquement de la curiosité des juges. A l’été 2011, la plupart des membres du personnel d’Amesys et de Qosmos découvrent avec accablement dans la presse que le projet Eagle sur lequel ils ont travaillé était destiné à espionner les opposants de Kadhafi.
Lire aussi : Qosmos : des marchés à Macao et Bahreïn
Le nom de Qosmos apparaît pour la première fois le 6 octobre 2011 dans un article de Mediapart, qui explique que « tous les voyages de la direction de Bull en Libye, notamment de l’actuel PDG de Bull, Philippe Vannier, étaient planifiés par Ziad Takieddine ». Chez qui les journalistes trouvent un document en anglais, « Spécifications techniques du programme de sécurité nationale » de la société i2e – avant qu’elle devienne Amesys. Un mode d’emploi, qui donne à titre d’exemple une liste de mails extraite d’Internet et qui viennent tous du Lip 6, le laboratoire informatique de Paris-VI. D’où sont issus les fondateurs de Qosmos.
Fureur des chercheurs, qui découvrent qu’ils ont été espionnés en 2004 par Qosmos, la start-up voisine de leurs locaux dans le 15e arrondissement. L’un des patrons de la société vient s’en expliquer devant les chercheurs espionnés, avoue que c’était « maladroit » mais n’en fait pas un fromage : les gens étaient « au courant », bien qu’ils n’aient pas franchement donné leur accord, et il leur indique en passant que, d’ailleurs, « les trafics sont filtrés sur le réseau de l’université » et que ce n’est pas illégal. La réunion, un peu houleuse, a été enregistrée clandestinement et est disponible sur le site Reflets, l’un des meilleurs spécialistes de ces questions.
Le projet Asfador
James Dunne, à Qosmos, est effondré. Quand il entend le ministre de la défense de l’époque, Hervé Morin, expliquer que le matériel de surveillance livré à un dictateur notoire vise à « traquer des pédophiles et des terroristes », c’est pour lui « se moquer du monde ».
Comme un malheur n’arrive jamais seul, l’agence Bloomberg publie le 4 novembre 2011 une dépêche retentissante, qui explique que, alors que la répression en Syrie a déjà fait 3 000 morts depuis mars, une compagnie italienne, Area SpA, travaille à Damas pour installer un système d’espionnage du Net. Le système est fourni par une société allemande, Utimaco, avec des sondes du français Qosmos et des unités de stockage du californien Sunnyvale. C’est le projet Asfador, du nom d’un monsieur qui aurait spontanément appelé les Italiens pour leur dire qu’ils auraient intérêt à répondre à l’appel d’offres. On n’a jamais su qui était cet Asfador, mais la société italienne a emporté le marché de 13 millions d’euros.
Qosmos a signé un contrat avec Utimaco Safeware AG le 16 novembre 2009. Les sondes de surveillance et d’interception des communications ixM-Li (Qosmos information extraction machine for legal interception) devaient être opérationnelles en 2011, avec des obligations de maintenance et de mise à jour jusqu’au 16 novembre 2013. Qosmos a fait des progrès : les « robustes sondes d’interception de Qosmos » sont désormais capables de monter en charge « de centaines de mégabits par seconde à des dizaines de gigabits par seconde », se réjouit le directeur produit d’Utimaco. Qosmos assure qu’elle peut intercepter 5,3 millions de sessions en simultané et stocker deux ans de métadonnées au lieu de six mois auparavant.
Quand éclate le scandale de la collaboration avec la Syrie, Thibaut Bechetoille indique que « l’évolution des événements en Syrie à l’été 2011 a amené Qosmos, pour des raisons éthiques et cela avant les publications dans la presse de novembre 2011, à se retirer du projet Asfador le 17 octobre 2011 ».
La déclaration ne coïncide pas vraiment avec celle qu’il avait faite à Bloomberg le 4 novembre, indiquant que « ce n’était pas bien de continuer à soutenir le régime », et que la société avait décidé « quatre semaines plus tôt » de se retirer du marché. Le vice-président marketing et communication de Qosmos, Erik Larsson, ajoutait combien il était « compliqué techniquement et contractuellement » de se retirer du partenariat.
Utimaco, de son côté, certifie que Qosmos a prévenu dès le 2 mai qu’elle rompait le partenariat et cessait toute livraison ou services à partir de novembre. L’entreprise allemande ajoute perfidement que ce n’est pas nécessairement pour des raisons éthiques : « Nous soulignons que les livraisons de Qosmos avant réception de la lettre de résiliation ont été partiellement défectueuses et incomplètes, n’obtenant pas ainsi l’acceptation technique d’Utimaco. »… Quoi qu’il en soit, si Qosmos s’est dégagée en mai, pourquoi dit-elle avoir rompu le contrat à l’été, au vu « de l’évolution des événements en Syrie » ?
James Dunne assure de son côté « qu’il nous a été annoncé en interne, fin mars 2012, que Qosmos continuerait pour des raisons contractuelles à fournir des mises à jour à Utimaco dans le cadre de ce même contrat pendant les deux années à venir ». La mise à jour majeure de la sonde ixM-Li 4.12 a été livrée à Utimaco le 31 décembre comme prévu, assure pourtant James Dunne, et la documentation technique (les « Release Notes » et le « Configuration Guide 4.12 ») le 31 janvier 2012.
Qosmos répond qu’« une confusion a été faite par certains entre le projet Asfador et d’autres projets conduits par Utimaco ». James Dunne assure qu’il n’a jamais entendu parler d’autres contrats avec Utimaco, et, s’il y en avait « de plus avouables », pourquoi la société n’en a jamais parlé ?
Le projet syrien est en tout cas terminé, l’entreprise italienne, Area, qui avait obtenu le marché d’espionnage abandonne à son tour le 28 novembre.
Nouvelle plainte
La FIDH et la Ligue des droits de l’homme ont déposé une nouvelle plainte, le 25 juillet, auprès du parquet de Paris, qui vise Qosmos pour la fourniture de matériel de surveillance au régime de Bachar Al-Assad. « Alors que les autorités françaises dénoncent avec fermeté les exactions perpétrées par Bachar Al-Assad, a expliqué Patrick Baudouin, président d’honneur de la FIDH, il est indispensable que toute la lumière soit faite sur l’éventuelle implication de sociétés françaises dans la fourniture de matériel de surveillance au régime syrien ». Qosmos a contre-attaqué en portant plainte en septembre pour dénonciation calomnieuse.
James Dunne, en pleine dépression, a fini par être licencié le 13 décembre 2012. Il avait posté en février 2011 sur sa page Facebook un lien vers un article, « Le DPI est-il une arme ? », puis écrit des commentaires désagréables pour Qosmos sur Mediapart. « Vous aviez un accès privilégié à des informations internes, confidentielles et particulièrement sensibles concernant certains de nos clients », écrit Qosmos, qui l’a licencié pour faute lourde, « manquement à l’obligation de confidentialité et de loyauté » et « détention non autorisée de documents internes avec intention de les divulguer à un tiers ».
Thibaut Bechetoille et James Dunne ont été entendus par le parquet de Paris et ont livré des pièces pour étayer leurs propos. Le procureur hésite encore à ouvrir une information judiciaire ; l’avocat de Qosmos, Me Benoît Chabert, est confiant : « Il n’y a rien dans le dossier. » Pourtant, « compte tenu des liens entre Amesys et Qosmos sur la Libye, indique de son côté Me Emmanuel Daoud, l’un des avocats de la FIDH, nous souhaitons que le parquet se décide à ouvrir une information judiciaire sur Qosmos et qu’elle soit elle aussi confiée aux trois magistrats déjà chargés du dossier Amesys ».
La bataille se poursuit aussi du côté des prud’hommes, où Me Claude Katz, l’avocat de James Dunne, a expliqué le 23 octobre qu’on voulait sanctionner un lanceur d’alertes. Qosmos a répondu qu’il avait manqué à ses obligations de confidentialité et de loyauté. Le conseil, avec deux voix pour, deux voix contre, n’a pas été en mesure de trancher et le dossier va revenir aux prud’hommes devant un magistrat professionnel.
Franck Johannès
