Dans ce deuxième volet de leur enquête, Mediapart et Reflets reviennent sur la genèse de cette société spécialisée dans les technologies de surveillance de masse, née dans un laboratoire avant de se transformer en fournisseur des services de renseignement de l’État qui ne pouvait rien ignorer de ses activités.
Lorsque l’on se penche sur les activités de Qosmos, une question vient rapidement à l’esprit : comment une société travaillant dans un domaine aussi sensible que « l’interception légale » des télécommunications a pu librement nouer affaires avec des régimes tels que la Libye du colonel Kadhafi ou la Syrie de Bachar al-Assad sans que les plus hautes autorités de l’État n’aient eu leur mot à dire ?
Au regard de nombreux documents que Mediapart et Reflets ont pu consulter, il apparaît évident que l’Etat a eu au moins connaissance des activités de Qosmos, et semble même les avoir validées. On pourrait même se demander comment une telle entreprise, avec sa proximité avec l’Etat français, a finalement pu être visée par une information judiciaire pour « complicité d’actes de torture » pour son contrat syrien…
Car Qosmos est tout sauf une entreprise banale. Elle est, selon nos informations, une entreprise dont une partie des activités a été très vite classée « confidentielle », voire « secret défense », conduisant à une sécurisation de ses locaux et une surveillance étroite de la part des services de renseignement français. Parallèlement, Qosmos compte dans ses clients l’État français lui-même, et notamment ses services de renseignement, qui disposent même de leurs propres facilités dans les locaux de l’entreprise. Ce même État n’a pas non plus hésité à investir jusqu’à 10 millions d’euros dans le capital à une époque où le contrat avec la Syrie, qui vaudra à la société ses ennuis judiciaires, avait déjà été en grande partie exécuté. Enfin, ce sont toujours les plus hautes autorités de l’État qui ont donné leur autorisation à la commercialisation du principal outil « d’interception légale» proposé par Qosmos à plusieurs dictatures.
Pour comprendre ce qu’est réellement Qosmos, il faut revenir aux origines de ce qui n’était, en 2000, qu’un projet universitaire issu d’une thèse sur la gestion de la Qualité de service et lancé par trois professeurs de l’Université Pierre et Marie Curie et chercheurs au LIP6 (Laboratoire d’informatique de Paris VI) : Éric Horlait, Serge Fdida et Guy Pujolle.
Le futur leader mondial de la sonde dite DPI (Deep Packet Inspection) n’était alors qu’une « spin-off », une sorte de start-up universitaire, spécialisée dans le marché de contrôle de la qualité de service. À cette époque, l’accès au réseau était encore limité, et parfois très cher pour les entreprises ayant un besoin croissant de bande passante. S’est alors développé le métier « d’étrangleur de flux » consistant à gérer une bande passante limitée, et à réguler le trafic via un boîtier affectant des priorités à telle ou telle application par rapport à telle ou telle autre.
Mais, au début des années 2000, les coûts de connexion s’effondrent rendant obsolètes ces « étrangleur de flux », ainsi que les sociétés qui les commercialisaient. Celles-ci se sont donc trouvées dans l’obligation de se reconvertir, et beaucoup le font dans un nouveau domaine qui commence à prendre de l’ampleur : la « métrologie » du réseau, c’est-à-dire la mesure et l’analyse du trafic internet.
En 2001, le LIP6 monte et dirige le projet « Métropolis », le premier projet de métrologie de grande ampleur en France, réunissant les principaux acteurs académiques du pays et financé par l’État par le biais du Réseau national de recherche en télécommunications (RNRT). Mais les liens avec le laboratoire universitaire restent importants. De nombreux étudiants font régulièrement des stages chez Qosmos et la société est dirigée par Éric Horlait qui a pris un congé pour se consacrer à son développement. Qosmos est partenaire de certains projets de recherche du LIP6 comme le projet INFRADIO qui permettra le déploiement de WIFI sur le campus de Jussieu. À cette époque, on ne parle pas encore de « surveillance », un marché qui est en devenir. Mais déjà, certains ont conscience des implications possibles de leur travail.
« La problématique de métrologie de réseau est tout comme la problématique de sécurité à usage dual », explique Kavé Salamatian, ancien maître de conférences au LIP6 et responsable du projet Métropolis. « Quand vous commencez à mesurer ce qui passe sur votre réseau, pour améliorer la sécurité et pour gérer la qualité de service, vous êtes en position stratégique pour surveiller ce qu’il s’y passe. Vous pouvez donc monitorer ce qui peut relever de la vie privée. La métrologie est une technologie qui est essentielle pour la gestion du trafic et la sécurité, mais qui en même temps pose des problèmes éthiques et juridiques, notamment au niveau du respect de la vie privée. C’est pourquoi on a toujours fait attention de ne garder que des données anonymisées et qu’une partie non négligeable de notre effort de recherche a été de développer des méthodologies d’anonymisations que l’on s’est appliqué à nous-mêmes. »
On ne parle pas non plus encore de la fameuse technologie DPI, terme qui n’apparaîtra qu’à partir de 2004-2005. « Mais déjà, à ce moment-là, au niveau académique on se rendait bien compte que, même si nous avons poussé très loin les capacités de reconnaissances par les en-têtes, si on veut faire de la reconnaissance applicative, il faut également regarder à l’intérieur des paquets. Mais là où nous étions bloqués, c’est que pour regarder à l’intérieur des paquets, il fallait avoir des capacités de calcul très importantes. Or, à cette époque, ces capacités de calcul n’existaient pas encore, ou en tout cas étaient trop chères pour nos budgets universitaires. Le DPI, c’est en quelque sorte la traduction opérationnelle de cette idée qui est devenue possible avec la croissance des capacités de calcul », explique Kavé Salamatian.
Au sein de Qosmos, l’ambiance est plutôt bon enfant. « À mon arrivée, en 2005, c’était encore une petite entreprise d’une vingtaine de personnes. Tout le monde était en jeans et tee-shirts, avec une ambiance assez baba-cool, très start-up », témoigne James Dunne. « Ça ressemblait plus à un service « recherche et développement » surdimensionné. L’entreprise vendait principalement deux produits, Qwork et Qcenter, à destination des opérateurs et des entreprises. Ils leur permettaient de comprendre les usages, d’établir des facturations, de gérer les trafics. »
Mais ces activités ne sont pas rentables, et la société perd de l’argent. Elle survit grâce aux investissements de plusieurs fonds qui, peu à peu, prennent de plus en plus de pouvoir.
Les années 2004-2005 marquent un virage radical pour Qosmos. En juin 2004, le fonds d’investissement Sofinnova Partners, suivi quelques mois plus tard par la nomination d’un nouveau PDG, Thibault Bechetoille, sonnent la fin de l’époque « universitaire » du projet.
Désormais, Qosmos doit être une société rentable. « Un virage stratégique a été initié afin de positionner Qosmos sur le marché de l’extraction d’informations, celui du DPI, Deep Packet Inspection », raconte Thibault Bechetoille dans une interview accordée en 2008 au Journal du net. « Et le DPI peut être utilisé à la fois en sécurité, pour l’optimisation réseau, et enfin dans un troisième domaine qui est celui de l’extraction d’informations qui, en tant que telles, ont une valeur. Pour des acteurs comme Médiamétrie ou GfK, l’information est en effet cruciale »… mais pas uniquement pour ces sociétés.
« Ce qu’il s’est passé à partir de cette période, c’est que Qosmos, qui était finalement une petite entreprise avec une dizaine d’ingénieurs qui se connaissaient bien, souvent des étudiants de la même promo, est devenue la cible d’intérêt d’un certain nombre de fonds », confirme Kavé Salamatian. « Des directeurs et des PDG sont entrés dans la boîte et ont commencé assez rapidement à la rediriger vers un certain nombre de business, à faire en sorte qu’elle devienne bénéficiaire. Et ils se sont aperçus que la meilleure manière de faire de l’argent, c’était de s’intéresser à des clients qui ne négociaient pas les prix, plus intéressés par ce que pouvait faire la technologie. Cela s’est traduit par toute une série de dissensions », poursuit l’universitaire. « Éric Horlait a notamment été écarté assez rapidement. Les liens sont aussi coupés avec les deux autres fondateurs universitaires, Serge Fdida et Guy Pujolle. »
« Qosmos a en fait connu un processus classique dans les start-up françaises. Les fondateurs scientifiques initiaux sont mis de côté, parfois de façon brutale, et remplacés par des « professionnels » financiers qui ont la confiance des investisseurs », poursuit Kavé Salamatian. « Dans ce genre de cas, le premier client qui arrive, ce n’est pas Kadhafi, mais les services français. Si l’on prend l’histoire d’Amesys, ce sont les services, et Takieddine, qui ont amené Qosmos dans cette affaire. »
« Charlie », « Kairos » : des clients pas comme les autres
À partir de 2007, Qosmos commence à travailler effectivement avec le gouvernement français, et notamment les ministères de la défense et de l’intérieur. Ces contrats entre Qosmos et les services français sont bien entendu classés « confidentiels ». Mais l’un d’eux, révélé par Le Monde au mois d’octobre 2013, apparaît de manière explicite dans de nombreux documents que nous avons pu consulter : le projet Kairos. Signé en 2007, et encore actif en 2012, ce projet permet à la DGSE de disposer de sa propre unité dans les locaux de Qosmos, la « Business Unit Kairos » (BUK), pour laquelle travaillent, trois jours par semaine, des ingénieurs de la société. D’autres clients classés confidentiels apparaissent régulièrement dans les documents internes de Qosmos, sans que l’on puisse déterminer la nature exacte des contrats, comme par exemple un mystérieux « Charlie », qui ne serait autre que l’État français lui-même selon plusieurs sources internes.
L’existence de ces contrats « confidentiels » et les liens étroits entre Qosmos et l’État français ne sont un secret pour personne au sein de la société. Ils ont même été, à demi-mots, confirmés par Éric Horlait lui-même lors d’une réunion de crise du LIP6 ayant fait l’objet d’un enregistrement audio clandestin dont Reflets s’est procuré une copie. Le co-fondateur de Qosmos est ainsi tout d’abord interrogé sur le projet Amesys et sur « les doutes » pesant sur la société. « Les doutes ? Encore une fois il faut relativiser les choses. Les doutes existent où ? » répond Éric Horlait. « Dans le petit monde, tout le monde sait exactement ce qui s’est passé, mais personne n’a intérêt à le dire. Personne n’a intérêt à cela », poursuit-il. « Tout le monde le sait, il n’y a pas d’intérêt à le dire. Allez voir la DGSE en France, avant d’aller voir qui utilise tel ou tel matériel à tel ou tel endroit pour faire telle ou telle chose. Vous connaissez les fabricants des équipements qu’utilise la DGSE pour faire des écoutes légales en France ? »
Un autre intervenant pose alors directement la question à Éric Horlait : « Est-ce que Qosmos travaille ou pourrait travailler pour les RG Français ? » L’intéressé confirme, embarrassé : « Écoutez mes propos, vous aurez la réponse. C’est un problème de déchiffrage, hein, ce n’est pas très compliqué. » Deux questions plus tard, le fondateur du LIP6 lâche : « Il y a eu un énorme marché – juste pour illustrer les choses – la France –, c’est ta question – je pense que ce que j’ai dit, hein, vous avez la réponse à ta question sur les services français, hein. heu… »
Le chiffre d’affaires explose, l’Etat investit
Deux ans après son entrée dans le domaine du renseignement, en 2009, les salariés sont informés que les activités de la société ont été classées en « confidentiel », et de vastes travaux sont engagés pour sécuriser ses locaux. Au mois de mai 2009, les bureaux sont déménagés du premier étage de l’immeuble au huitième étage. Des détecteurs de mouvement et de chaleur, des fenêtres blindées, et tout un système de caméras de surveillance, sont installés un peu partout. Chaque salarié est désormais équipé d’une clef électronique permettant de savoir qui a ouvert quelle porte.
Cette nouvelle stratégie mise en place par la nouvelle équipe est incontestablement un succès financier. En seulement cinq années, entre 2005 et 2010, Thibault Bechetoille a réussi à multiplier par 10 le chiffre d’affaires de sa société. Entre 2009 et 2010, cette augmentation est de 40 % à 9,3 millions d’euros. L’écoute massive est devenue un axe majeur au sein de l’entreprise. Avec le risque évident qui lui est lié : on ne vend pas – théoriquement – de l’écoute massive à une démocratie. Les clients « naturels » sont donc des dictatures ou des États policiers.
La nature même de cette technologie interpelle, et inquiète, certains experts. Elle est régulièrement dénoncée dans les colonnes de la presse spécialisée, notamment sur le site Reflets.info. Ainsi, dès février 2011, Reflets.info diffuse une interview de Thibault Bechetoille réalisée par deux contributeurs du site. Dans cette interview, le PDG de Qosmos niait catégoriquement que sa société puisse être impliquée dans des projets de surveillance massive d’Internet, déployés dans des pays non démocratiques, déclarant que ce n’était « clairement pas notre objectif ». Prudent, il laissait entendre qu’il ne pouvait pas contrôler l’usage qui était fait de ses systèmes par des intégrateurs, ses clients finaux…
Thibault Bechetoille aurait été fortement marqué par cette interview. « Il en est revenu totalement défait », raconte ainsi un de ses collaborateurs de l’époque. « C’est à partir de ce moment qu’il a commencé à évoquer la possibilité de se retirer de certains contrats. »
Difficile de savoir si le PDG de Qosmos a réellement été touché par une sorte de prise de conscience ou s’il avait juste des craintes pour l’image de sa société. Ce qui est sûr, c’est que ces craintes auraient été justifiées.
Quelques mois plus tard, Qosmos est pour la première fois citée pour son implication, indirecte, dans la surveillance de dissidents par une dictature. Le 6 octobre 2011, Mediapart publie en effet une enquête intitulée « Les preuves de l’espionnage français du net libyen ». Parmi les documents du sulfureux homme d’affaires Ziad Takieddine, Karl Laske et Fabrice Arfi ont trouvé un contrat datant de 2007. Ce contrat, passé entre la dictature libyenne du colonel Kadhafi et la société française Amesys, filiale du groupe Bull, stipulait la fourniture d’un système de surveillance complet de la population. Ces révélations vaudront à Amesys d’être visée par une information judiciaire pour complicité d’actes de tortures.
Ces documents donnent de nombreux détails sur le produit vendu par la société française à la Libye. Celui-ci est issu du projet « Eagle » et fait appel à la technologie « DPI ». Or, pour ses sondes, Amesys a bien entendu fait appel à la référence française en la matière : Qosmos. Dans une démonstration des capacités d’Eagle transmise au régime libyen en 2006, la société fournit même un exemple d’interception démontrant le piratage d’échanges de mails entre chercheurs du LIP-6, le laboratoire où est né Qosmos.
« J‘ai été extrêmement surpris de voir les captures d’écran de ces mails sur Mediapart, car en fait, il s’agit tout simplement des miens ! » témoigne aujourd’hui Kavé Salamatian. « Ce n’était pas un piratage, il s’agissait d’un test qui a été fait en connaissance de cause avec mes étudiants à l’intérieur du labo », raconte le chercheur. « Je savais que cela pouvait servir à Qosmos car plusieurs d’entre eux y effectuaient un stage et que la sonde nous avait été prêtée pour la tester. Par contre, je ne m’explique pas comment ils se sont retrouvés en Libye et comment ils ont été présentés comme un exemple de l’application de la technologie Qosmos au suivi de l’activité d’une personne ! D’autant plus qu’à partir de 2002, quand nous avons fini de développer les outils, toutes nos expérimentations ont été systématiquement anonymisées. Je n’ai appris leur utilisation qu’en 2012, après la publication des documents Amesys trouvés en Libye. »
Dans cette affaire encore, comme pour le projet Asfador en Syrie, Qosmos martèle « qu’aucun de ses logiciels n’a été opérationnel ». En réalité, la société a été le sous-traitant d’Amesys jusqu’en 2008. Mais au moment de la signature du contrat avec la Libye, c’est effectivement un concurrent de Qosmos, la société allemande Ipoque, qui a été retenue pour des raisons techniques. Les débits que les sondes Qosmos pouvaient surveiller étant trop faibles. Il y a encore peu de temps, Amesys réglait régulièrement des factures à Ipoque, leur collaboration étant toujours en cours. L’affaire a en tout cas été à l’origine d’un conflit entre les deux sociétés.
À peine un mois plus tard, Qosmos est une nouvelle fois mise en cause, et cette fois, pour un contrat auquel elle a bien participé. Le 4 novembre 2011, Bloomberg révèle au grand public l’existence du projet Asfador, mettant en cause publiquement Utimaco et son partenaire français dans la répression du Printemps arabe qui avait déjà fait, à cette date, plus de 3 000 victimes en Syrie.
Si le contrat avec la Syrie est celui qui a le plus intéressé les médias, il ne représente qu’une facette des nombreuses activités de Qosmos et des acteurs de ce secteur très particulier du DPI. Secteur qui intéresse visiblement beaucoup l’État français qui, après être devenu client de la société, après avoir sécurisé ses locaux, devient l’un de ses actionnaires.
Le 8 septembre 2011, Qosmos annonce en effet une levée de fonds. Au sein des 19,8 millions d’euros apportés, 10 millions le sont par le Fonds stratégique d’investissement (FSI), bras armé du gouvernement Sarkozy. À cette occasion, un représentant du FSI intègre le conseil de surveillance de Qosmos. Celui-ci est donc tout à fait au courant de la stratégie de Qosmos, à cette époque. Tout comme précédemment, Sofinnova devait suivre de très près la nouvelle stratégie de Thibault Bechetoille en ce qui concerne la surveillance massive, à l’échelle d’un pays…
Avec la bénédiction du premier ministre
L’implication du gouvernement français, notamment sous le mandat de Nicolas Sarkozy, dans le développement des deux sociétés Amesys et Qosmos est patente. C’est la garde rapprochée de l’ex-président qui fait le choix de pousser une solution Amesys pour le marché libyen. Un choix intrigant lorsque l’on sait qu’à l’époque, Amesys est une petite SSII aixoise et que des poids lourds habitués des contrats publics dans ce domaine comme Thales ou EADS pouvaient fort bien répondre aux besoins.
C’est encore le gouvernement Fillon qui ne s’oppose pas à la très étonnante reprise de Bull par la petite SSII (Société de service en ingénierie informatique). Bull étant considérée, à tort ou à raison comme la vitrine française de l’informatique, l’État étant actionnaire de cette entreprise, il est impossible que la cession de Bull se fasse sans un accord tacite du gouvernement.
C’est enfin le Fonds stratégique d’investissement, bras armé de l’équipe Sarkozy avec la Caisse des dépôts et consignations, qui va prendre 5,2 % du capital de Bull, dont Amesys est devenu une filiale, et injecter 10 millions dans Qosmos. Des prises de participation visiblement pas innocentes.
De plus, comment penser que les autorités n’aient pas été mises au courant des contrats passés par une société dont il est non seulement actionnaire mais également client et dont il assure même la sécurité ! Difficile d’imaginer que les services de renseignement ayant leurs entrées au cœur même de Qosmos n’aient pas rendu compte des différents contacts noués avec les régimes du colonel Kadhafi et de Bachar al-Assad, qui plus est dans des périodes aussi sensibles. Jusqu’à présent, Qosmos et les autorités se sont réfugiés derrière l’argument spécieux selon lequel les sondes DPI ne sont pas des armes et ne sont juridiquement pas soumises à une autorisation avant exportation. Il est en effet, en partie, exact les systèmes de surveillances n’ont pas besoin d’une autorisation pour être vendus à l’export (ce ne sont pas des « armes). Face aux polémiques provoquées par l’affaire Amesys, l’ancienne ministre déléguée chargée de l’économique numérique Fleur Pellerin a même annoncé, au mois de décembre dernier, son intention de les faire inscrire « dans ce qu’on appelle « l’arrangement de Wassenaar », qui soumet à autorisation l’exportation de technologies duales vers les pays non démocratiques ». Mais ce qu’oublient de préciser les autorités et Qosmos, c’est que, s’il est exact qu’aucune autorisation n’est requise pour vendre ces outils de surveillance à l’étranger, une autorisation est nécessaire pour avoir le droit de tout simplement les produire et les commercialiser. Et celle-ci doit être donnée par le premier ministre, comme le rappelait en septembre 2011 Reflets.
Théoriquement, les produits de Qosmos constituent en effet une violation flagrante de l’article 226-3 du code pénal qui punit « de cinq ans d’emprisonnement et de 300 000 euros d’amende » « la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente d’appareils ou de dispositifs techniques conçus pour réaliser » ce type d’activités de surveillance, comme « la détection à distance des conversations » ou encore « la captation de données informatiques ». Les articles R226-1 et suivants précisent que ces autorisations sont délivrées par le premier ministre après avis d’une commission consultative de onze membres, composés de représentants des ministères de la justice, de l’intérieur, de la défense, des douanes, de l’industrie et des télécommunications, de la Commission nationale de contrôle des interceptions de sécurité, du directeur général de l’Agence nationale des fréquences, et enfin de « deux personnalités choisies en raison de leur compétence, désignées par le Premier ministre ».
Or, lorsqu’on étudie les différentes présentations du produit d’interception phare de Qosmos, le ixMachine-LI, on constate que cette autorisation a bien été accordée, comme le montre cette capture d’écran d’un document de travail tiré d’une présentation du projet Eagle vendu par Amesys à la Libye, alors que Qosmos faisait encore partie du partenariat (voir ci-dessous). C’est donc bien avec la bénédiction de la tête de l’exécutif que la société a vendu ses solutions d’interception.
Depuis 2011, Reflets.info, qui avait dévoilé avec Mediapart le projet Eagle en Libye, ne cesse de pointer le silence des autorités françaises, sous les quinquennats Sarkozy et Hollande. Aucun des gouvernements qui se sont succédé ne se sont expliqués sur leur aide à Qosmos et Amesys. Aucun n’a répondu clairement aux rares questions des parlementaires sur ces sujets. Aucun n’a commenté les liens entre la DGSE, la DCRI et ces deux entreprises, ni sur la possible mise en place d’infrastructures d’écoutes massives dans l’Hexagone, sur le modèle de ceux de la NSA. Aucun n’a répondu sur les questions liées à la pose des câbles sous-marins par les deux leaders de ce domaine, Orange Marine et Alcatel-Lucent Submarine Networks (ASN), et à la surveillance opérée lorsqu’ils accueillent des outils comme ceux d’Amesys ou de Qosmos.
Les solutions de Qosmos, telles que décrites par la société elle-même dans ses documents internes, sont particulièrement intrusives.
L’installation de ces infrastructures de DPI, que ce soit dans des pays fâchés avec les droits de l’homme, comme la Syrie, ou chez des opérateurs télécom dans des pays « démocratiques », est « l’Étoile noire » d’Internet. Ces infrastructures éradiquent les concepts de droit au respect des correspondances et de la vie privée.
De tels logiciels permettent, par exemple, de capter les discussions instantanées via Facebook, de connaître toute l’activité d’un compte mail (messages envoyés, stockés, brouillons, liste des destinataires, etc.).
Leur utilisation dans des pays qui ne respectent pas les droits de l’homme, dictatures ou États policiers, ont des conséquences graves, comme cela a été démontré pour la Libye. Des êtres humains ont été torturés sur la base de leurs échanges via Internet. Dans des pays dits démocratiques, la question est posée de savoir si, justement, une démocratie peut s’accommoder du développement de ces outils. Peut-elle raisonnablement soutenir, y compris financièrement, ce développement ? Les révélations liées aux documents d’Edward Snowden montrent pourtant les risques que l’usage de ces technologies sous-tend… C’est la question du développement d’une société de type panoptique qui est posée. D’une société où tous les citoyens sont considérés comme des délinquants potentiels.