Overblog Tous les blogs Top blogs Environnement & Bio
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU
Publicité

A nous de faire la part des choses : http://freezon.fr.nf/

Amesys et la surveillance de masse : du fantasme à la dure réalité

Publié le 29 Mai 2013 par Didier in Sciences, democratie, politique

Suite à une conversation sur Twitter, je me suis rendu compte que beaucoup de gens nous prenaient encore pour des illuminés quand nous évoquions les questions de surveillance globale des réseaux. Il y a plusieurs raisons à cela. Elles sont à la fois techniques, économiques et juridiques. Nous allons donc tenter d’en faire brièvement le tour, pour ensuite vous dresser un scénario fiction, que nous comparerons enfin avec des faits, eux, bien réels.

En ce qui concerne les barrières techniques à la surveillance massive, à l’échelle d’une nation, nous avons déjà abordé le sujet en long en large et en travers dans nos rubriques Saga Amesys et Saga Deep Packet Inspection sur Reflets.info. Techniquement, nous parlons d’un système capable d’agréger les interceptions réalisées en plusieurs points de centralisation du trafic :

Coeur de réseau des FAI
Points d’atterrissement des câbles sous-marins
Quelques tronçons nationaux de fibres bien identifiés

Une fois les données interceptées, il faut ensuite les stocker et les indexer dans une sorte d’énorme base de données sur laquelle on pourra à posteriori lancer des requêtes, portant sur un internaute (ex : un nom, une adresse IP, une adresse mail, un pseudonyme…) ou un thème plus générique (ex : Al Qaida, AQMI …).

Capture d’écran 2013-05-18 à 19.54.16

Ces outils ne sont pas des outils de science fiction, c’est par exemple ce qu’Amesys a vendu au régime de Kadhafi, sur mesure, à une échelle certes plus modeste et surtout plus centralisée que la capacité et l’architecture nécessaire pour réaliser la même chose en France. Mais tout ceci n’est qu’une question de moyens. La Libye, c’est un POC (un proof of concept), vite rentabilisé par la suite par le biais d’une vente d’un système équivalent au Qatar… et à d’autres pays.

Des barrières techniques, découlent des barrières économiques. Combien ça coûterait d’écouter toute une nation ? Pour un pays comme la France, on parlerait de quelques centaines de millions d’euros, beaucoup moins qu’un sous-marin nucléaire moderne.

Ces deux points brièvement balayés vont nous amener sur le cadre légal et malheureusement… à une pratique supposée, mais plausible, de contournement. Dans cet article sur la plateforme nationale d’interceptions judiciaires, j’avais évoqué la différence entre les interceptions judiciaires (sur demande d’un juge), et les interceptions administratives, plus opaques.

Je vais donc poser aujourd’hui ouvertement la question : existe t-il un troisième niveau d’interceptions s’appuyant sur une architecture décentralisée, hors du territoire français, opérées par la direction du renseignement militaire ?

Si la France venait un jour à utiliser l’interception massive, ce serait probablement dans le but de surveiller une population autre que sa propre population (pour des raisons de sécurité intérieure, de menace terroriste, d’espionnage économique…). Tout comme les USA espionnent de longue date les communications Européennes, mondiales, … et même nationales.
Le scénario qui tue

Encore une fois, et ce n’est là que pure fiction issue d’une réflexion datant d’ il y a bientôt deux années, thèse qui est malheureusement en train de faire son chemin… voici comment je m’y prendrais si je voulais écouter massivement, à moindre coût, et surtout discrètement.

J’appuierai, au plus haut niveau de l’Etat, une société privée (un fusible comme on dit dans le jargon), spécialisée dans l’interception de masse, pour que cette dernière exporte ses jouets sur le territoire national des gens que je souhaite écouter. Je leur vendrai le bébé comme une arme de guerre électronique, à part que cette dernière n’est pas répertoriée légalement en tant que telle, et donc, non soumise à un contrôle strict des exportations.
J’en profiterai pour surdimensionner un peu le système en prévision d’une utilisation non documentée (un backdoor).
J’enverrai ensuite, au nom d’une « fraternelle coopération » des officiers du renseignement militaire pour former les équipes du « client » (comprenez le dindon de la farce). Cette opération de « formation » permettrait en outre de paramétrer le jouet vendu afin que ce dernier soit accessible à distance par les services du renseignement extérieur, avec un accès complet aux interceptions réalisées par le « client »… évidemment à son insu.
Ce qu’il y a de bien avec TCP/IP et BGP, c’est que l’on peut router du trafic à peu près où on le désire. En clair, nul besoin de disposer d’outils sur le territoire français pour écouter les communications des ressortissants français.
Si je multiplie cette « opération commerciale » avec des « partenaires » géographiquement bien choisis, je m’offre une sorte de cloud de l’interception, financé par des puissances étrangères. Peu importe si elles ne sont pas franchement reconnues comme les plus grandes démocraties. Peu importe si leurs dirigeants sont connus comme des terroristes ou des fous furieux. L’éthique ce n’est pas franchement le fond du problème.
En cas de pépin, pas de souci; l’Etat pourrait ainsi se défausser de toute responsabilité. Notre entreprise privée est le fusible, c’est à elle de sauter. Mais évidemment, comme elle demeure « stratégique », je lui offre une porte de sortie en bidonnant une cession d’activité à une société tierce, créée par elle même. Elle pourrait ainsi, par exemple sous drapeau Qatari, continuer à vendre ses petits jouets et la collaboration entre les services extérieurs et cette « nouvelle société » qui ne renaît que des cendres de la première, pourrait ainsi continuer de plus belle et s’attaquer tranquillement à d’autres « marchés ».
Si une bande de cyber-beatniks de députés venait à poser des questions au Gouvernement sur la présence avérée d’officiers du renseignement, il suffirait de brandir la menace terroriste et d’expliquer que ces « armes » n’en sont pas, qu’elles sont en fait du matériel grand public.

Et maintenant, la réalité qui pue

Vous trouvez que cette petite fiction fait froid dans le dos ? C’est probablement parce que vous n’avez pas mis bout à bout les pièces du puzzle Amesys. S’il y a bien une partie de fiction dans le scénario que je vous sers ici, il se base sur des faits on ne peut plus réels. Reprenons depuis le début..

En 2004, la société Bull est privatisée. Didier Lamouche, prend sa tête en 2005. Toujours en 2004/2005 Amesys (alors I2E) est en quête d’un partenaire capable de lui fournir des sondes pouvant opérer sur un trafic important pour faire de l’interception « légale ». La société se rapproche donc du LIP6 qui était en train d’accoucher d’une autre société, Qosmos.
A cette époque, Philippe Vannier est alors PDG de I2E qui allait, en 2006, donner naissance à Amesys.
C’est aussi à cette période qu’I2E se rapproche des autorités libyennes par l’entremise d’un certain Ziad Takkiedine, homme d’affaire franco libanais, et accessoirement marchand d’armes, même s’il préfère le terme d’intermédiaire. Nom de code : Candy. Candy, c’est donc le petit nom de la vente d’un Eagle (la partie Software) et d’un beau gros Glint (la partie Hardware). Une véritable arme électronique, d’ailleurs à l’époque vendue en tant que telle. Amesys n’est évidemment pas seule, un mystérieux vendeur de routeurs »pas loin d’être français », aurait pris part à cette vente. Evidemment, au plus haut niveau, on est au courant, et on appuie cette vente. Commence alors un curieux manège dont les acteurs ne sont autres que Claude Guéant (CG), Brice Hortefeux (BH) et Ziad Takieddine (ZT), c’est le début du contrat Homeland Security comme le révèlera Jean-Marc Manach dans son excellent ouvrage sur le sujet « Au Pays de Candy ».

VISITE DE Claude Guéant le 22/09/2005 à Tripoli by rewriting

Bluetouff

Publicité
Publicité
Commenter cet article
Publicité