Catégories
Société

Surveillance : enquête sur Qosmos, le fournisseur de sondes à la Syrie d’al-Assad

Fruit d’une collaboration entre Reflets.info et Mediapart, cette enquête au long court a permis de lever le voile sur l’un des acteurs majeurs français du Deep Packet Inspection. Cette technologie est à la base de toute infrastructure d’écoute lorsque l’on veut mettre tout un pays sur écoute. Les révélations d’Edwad Snowden sur les activités de la NSA ne parlent finalement pas d’autre chose. Il s’agit d’aspirer tout le trafic Internet (IP) circulant sur les plus gros câbles (souvent sous-marins). Reflets.info creuse ce sujet depuis 2011, bien avant l’affaire Snowden, mais en ce concentrant principalement sur les vendeurs français de ces technologies. Amesys et Qosmos au premier chef qui sont très liés à l’Etat français. Mais sans négliger quelques acteurs américains, comme BlueCoat. Cette longue enquête a été publiée simultanément sur Reflets.info et sur Mediapart. Elle est composée de trois articles.

Mediapart et le site Reflets.info s’associent pour une enquête en trois volets sur Qosmos, société française spécialisée dans la technologie de surveillance de masse (DPI), visée par une information judiciaire pour « complicité d’actes de torture » Qosmos est soupçonnée d’avoir participé, en 2011, à un projet de surveillance global du net syrien.

En novembre 2011, Bloomberg révèle que la société Qosmos, l’un des leaders français du Deep Packet Inspection (DPI), la technologie d’interception de flux Internet la plus en pointe, travaille comme sous-traitant de l’allemand Utimaco, lui-même sous-traitant de l’italien Area Spa, pour la livraison à Bachar al-Assad d’un système de surveillance global de la population. L’image de Qosmos commence à se dégrader nettement, d’autant que la révolution dans le pays a démarré neuf mois plus tôt et a déjà fait 3000 morts.

Pour contrer les effets de cette publication, Qosmos annonce alors avoir décidé de se retirer du projet et clame que ses matériels n’ont pas été « opérationnels » dans ce pays. Cette défense tiendra-t-elle devant les trois juges d’instruction du pôle génocides et crimes contre l’humanité chargés d’instruire une plainte initiée par la LDH et la FIDH ?

Quoi qu’il en soit, son produit d’interception massive a été développé par Qosmos grâce au contrat avec la Syrie. L’argent des dictateurs n’a pas d’odeur dans le milieu français de la surveillance. Le contrat passé par l’autre acteur, Amesys, avec le colonel Kadhafi avait lui aussi permis de développer la solution Eagle ayant conduit à des tortures en Libye.

Selon les informations recueillies par Mediapart et Reflets.info, même sous une forme « dégradée », les outils de Qosmos ont bien été installés en Syrie et ont très bien pu être utilisés par les autorités, quand bien même Qosmos se serait retirée du projet. En outre, Qosmos a continué à travailler avec Utimaco au moins jusqu’en novembre 2012. Peut-être sur des projets n’étant pas liés à la Syrie, mais pour autant, Utimaco avait un accès aux nouvelles versions des produits Qosmos bien après la fin annoncée du projet Asfador et l’allemand aurait pu affiner la solution syrienne de son côté.

Il est par ailleurs difficile d’imaginer que Qosmos, qui a des relations très étroites avec les services de renseignements intérieurs et extérieurs français, au point que ses activités sont « confidentiel défense », ait pu travailler sur ce projet sans que les plus hautes autorités françaises n’en aient été averties.

L’affaire du projet Asfador dévoilée par Bloomberg avait mis la société Qosmos sous les feux de la rampe. Peu après le scandale Amesys (filiale de Bull à l’époque) et la vente d’un système d’écoute global de la Libye de Mouammar Kadhafi (documenté par Mediapart et Reflets.info), le grand public découvrait que la société française Qosmos avait livré du matériel visant à mettre sur écoute la population syrienne. Vendre des armes de surveillance électroniques capables d’espionner les échanges de mails, les discussions en temps réel, les visites sur le Web, des citoyens de pays dictatoriaux n’est pas, en termes d’image, une activité qui fait briller notre belle république dans ces contrées souvent plus assoiffées de libertés que de sondes espionnes. Et pourtant… La France est championne dans ce secteur… pas celui de la liberté, mais celui des systèmes d’interception des communications électroniques… catégorie massive.

En juillet 2012, les associations de droits de l’homme LDH et FIDH fustigeaient cette hypocrisie française dans une lettre envoyée au Parquet et demandant l’ouverture d’une procédure à l’encontre de Qosmos. Quelque deux années de travail après, la vice-procureure, spécialiste des violations des droits de l’homme, Aurélia Devos, vient de décider, au début du mois d’avril, d’ouvrir une information judiciaire pour « complicité d’actes de torture ». Celle-ci a été confiée à trois juges d’instruction du pôle génocides et crimes contre l’humanité . Concrètement, les magistrats auront à éclaircir au moins deux points cruciaux :

  • les produits vendus par Qosmos ont-ils été opérationnels ?
  • Ses dirigeants avaient-ils conscience, au moment de signer ce contrat, que leur technologie risquait de servir à un dictateur pour repérer, et arrêter ses dissidents ?

Qosmos, pour sa part, a toujours nié que ses produits aient été opérationnels et affirme ne jamais avoir vendu de matériel à la Syrie, se contentant d’être un simple sous-traitant de la société allemande Utimaco, elle-même, sous-traitante du consortium italien Area Spa.

L’origine du contrat incriminé remonte à 2009. À cette époque, Qosmos est une société en plein essor. Devenue une référence mondiale en matière de DPI, elle signe alors un contrat qui se révélera particulièrement important pour son développement. L’entreprise française devient en effet le fournisseur de sondes pour le compte d’Utimaco, une société allemande spécialisée dans l’interception légale de télécommunications.

Peu après la signature de ce contrat, les salariés de Qosmos commencent à travailler sur un mystérieux projet, développé avec son nouveau partenaire Utimaco dans le cadre d’un consortium mené par l’entreprise italienne Area SpA. Le nom de ce projet est Asfador, et son but est d’équiper le régime d’Assad d’un outil permettant de mettre l’ensemble des communications du pays sur écoute.

Le DPI ou la douane volante toute-puissante des réseaux

Ce que Qosmos apportait dans le projet, c’est la brique essentielle d’une telle architecture technique : les sondes. Celles qui vont « auditer » le trafic, le siphonner pour qu’il soit ensuite entré dans d’énormes bases de données. Ces dernières étant in fine consultées par les surveillants humains. Il suffit alors d’entrer un nom ou un email pour que tout le trafic de cette personne soit isolé. Il est aussi possible de dresser des arbres relationnels pour identifier les interlocuteurs et savoir qui communique avec qui. Si Jean a parlé avec Georges, on extraira aussi le contenu de Georges. Et si Georges a parlé de Jean à Gérard, on consultera ensuite les mails envoyés par ce Gérard. Sait-on jamais…

Dans une dictature ou un État policier, le Deep Packet Inspection est donc l’outil ultime pour repérer les opposants. On comprend aisément que le pôle génocides et crimes contre l’humanité s’intéresse à ce type de technologie qui sera le principal auxiliaire des bourreaux dans un avenir proche, si rien n’est fait pour l’encadrer très sérieusement. L’interception globale des flux d’un pays ne peut d’ailleurs intéresser que des dictatures ou des États policiers. Les vendeurs de ce type de solutions le savent bien. Une démocratie ne peut théoriquement pas, pour des raisons légales, mettre toute sa population sur écoute.

Qosmos se contente, dit-elle, de vendre des « sondes » qui ne sont qu’un élément dans un dispositif de surveillance plus global. Ces sondes peuvent être intégrées dans un vaste système de surveillance à l’échelle d’un pays comme dans du hardware réseau (les routeurs qui « dirigent » les données vers leurs destinations, par exemple). Elle qualifie d’ailleurs ses produits de « briques technologiques », choisies par ses clients au sein d’un catalogue. Qosmos travaille ainsi rarement directement avec le client final mais agit le plus souvent comme un sous-traitant.

Pour autant, en fonction de ce qui lui est demandé, Qosmos ne peut ignorer l’usage final qui sera fait de ses produits. Les demandes techniques pour de la « mesure d’audience » ou pour de la surveillance globale à l’échelle d’un pays ne sont pas les mêmes. Une faible culture générale permet par ailleurs de mesurer le niveau démocratique du pays client. Les considérations éthiques évoquées par Thibaut Bechetoille, PDG de Qosmos, pour arrêter le projet Asfador en octobre 2011 pouvaient assez simplement se faire jour dès la prise de connaissance du nom du pays client, la Syrie. C’est-à-dire pratiquement au début du projet.

Pour appréhender l’activité de Qosmos, il faut comprendre ce qu’est le Deep Packet Inspection : une technologie à l’origine neutre, assez passe-partout, dont les multiples applications pourraient aisément passer sous les radars. Dans un futur proche, de plus en plus d’équipements informatiques sont appelés à faire du Deep Packet Inspection comme monsieur Jourdain fait de la prose. Commençons par imaginer Internet comme un réseau routier, avec des péages, des embouteillages… et du Deep Packet Inspection que l’on pourrait comparer aux douanes volantes, ayant le pouvoir de désosser votre véhicule, de détourner la circulation, de la bloquer. Ce qui différencierait le DPI de la douane volante, c’est son caractère massif, systématique et quasi infaillible, pourvu qu’on place nos douaniers sur la bonne artère. Ces douaniers désosseraient systématiquement toutes les voitures, et les remonteraient instantanément, sans même que leurs occupants s’en aperçoivent ni aient besoin de stationner leur véhicule.

Mais cette technologie, aussi « versatile » soit-elle, est tout à fait comparable au nucléaire avec lequel on produit de l’électricité aussi bien que des bombes. Le Deep Packet Inspection est à l’informatique ce que le neutron est au nucléaire… un truc ni bon, ni mauvais. Tout dépend de ce que l’on en fait.
Et c’est justement ce qui est reproché à Qosmos, soupçonnée, d’avoir, en connaissance de cause, fourni cette brique technologique à des pays pas franchement recommandables.

Maintenant, imaginons que toutes les artères de notre réseau routier convergent en un seul point, celui-là même où nos douaniers se trouvent. Et ça, c’est justement l’architecture du réseau Internet syrien où le Syrian Telecom Establishment (STE), opérateur national, FAI du gouvernement, totalement contrôlé par Bachar al-Assad, assure la connectivité de tous les autres opérateurs. Le STE, client final du contrat Asfador, avait été longuement évoqué sur Reflets.info.

Avant même le soulèvement populaire en Syrie de 2011, dès 2009, une autre entreprise française, SOFRECOM, spécialisée dans l’implantation sur des marchés à perceptions aléatoires des droits de l’homme (le Congo, le Vietnam, la Thaïlande, la Syrie, l’Éthiopie, la Mauritanie, la Côte d’Ivoire, le Tchad, la Libye de Kadhafi, le Maroc, ou la Tunisie de Ben Ali), donnait un coup de main au Syrian Telecom Establishment pour moderniser son réseau… SOFRECOM, c’est une filiale d’Orange. Orange, c’est justement cet opérateur tellement historique qu’il noue des liens très étroits avec les services de renseignements intérieurs et extérieurs. SOFRECOM, et plus largement Orange, on les retrouve donc assez régulièrement près de lieux dans lesquels la France dispose d’intérêts économiques, militaires, ou a des besoins en matière de collecte de renseignements… afin de rester proche de son ennemi.
Ces collaborations douteuses, comme Libye/Amesys, Syrie/Qosmos, mais aussi Birmanie/Alcatel sont en fait tellement courantes, qu’il devient très difficile de ne pas se questionner sur la possibilité que ces contrats soient poussés au plus haut niveau à des fins d’opérations de collecte de renseignements extérieurs, avec la bénédiction et l’appui d’autres puissances.

La défense de Qosmos : Asfador n’aurait jamais été « opérationnel »

Le PDG de Qosmos, Thibaut Bechetoille, interrogé en 2011 par Bloomberg, affirmait que sa société a pris la décision « en octobre 2011 d’arrêter tous travaux sur le projet Asfador, avant que celui-ci ne soit révélé par la presse ». « Cette décision a pris effet immédiatement, et les logiciels de Qosmos n’ont jamais été opérationnels en Syrie ». L’article de Bloomberg date du 4 novembre et rapporte les propos du PDG de Qosmos : il aurait pris la décision de se retirer du projet quatre semaines plus tôt, soit aux alentours du 14 octobre 2011. Toutefois, le responsable marketing de Qosmos, Erik Larsson, également cité dans l’article, souligne que « les mécanismes pour sortir de cela, techniquement et contractuellement, sont complexes ». En tout état de cause, la révolution syrienne s’était étendue à tout le pays en mars 2011, soit huit mois plus tôt…

La décision formelle d’arrêter le projet Asfador aurait été prise lors d’une réunion du directoire de Qosmos dont il n’existe pourtant aucune trace écrite. Le projet en lui-même n’ayant pas fait l’objet d’un contrat spécifique, il n’existe pas non plus de preuve de sa résiliation… La société Utimaco a de son côté confirmé la version de son ancien partenaire, à savoir que les sondes n’ont pas été opérationnelles et que les livraisons ont définitivement cessé en novembre 2011, dans une attestation rédigée en juillet 2013 à la demande de Qosmos.

Seules les autorités syriennes elles-mêmes pourraient dire si le projet Asfador n’a effectivement jamais été opérationnel, comme l’affirme Thibault Bechetoille. Cependant plusieurs choses sont sûres. Tout d’abord, les sondes Qosmos ont bel et bien été livrées, et le matériel a bien été installé, selon nos informations, au cours de l’été 2011, soit au moins cinq mois après le début des troubles. Au total, au moins entre 5 et 10 serveurs chargés de récolter les informations des internautes syriens ont été installés dans le pays. Au moment des révélations de Bloomberg, le projet n’était effectivement pas totalement opérationnel. La question reste de savoir à quel point… Or, justement, les versions divergent en fonction des interlocuteurs.

Un document interne de la société en date du 8 septembre 2011, que nous avons pu consulter, montre qu’à cette date la phase 2 du projet était en état de recette. C’est-à-dire, la phase de validation. Le client et le fournisseur vérifient ensemble par une série de tests, que tout fonctionne comme prévu. Le document en question évoque à cette date une phase deux et une phase trois à venir. La phase de recette indique à tout le moins que l’étape du projet est très nettement avancée.

À ce moment, l’infrastructure vendue à Bachar al-Assad n’était donc pas opérationnelle au sens d’un déploiement actif pour une surveillance globale de la population, mais en phase de recette, un passage obligé avant la livraison de l’ensemble au client final dans un marché informatique. Qosmos indique par ailleurs que la sonde permettant de capter le trafic GSM (protocole GTP) serait livrée le 29 décembre. Le 29 septembre 2011 est également évoqué comme date de livraison de la capacité d’écoute du protocole MSRP, c’est-à-dire un protocole utilisé entre autres choses pour la téléphonie sous IP ou les fichiers multimédias échangés via des téléphones portables. Un autre document interne évoque la livraison d’informations sur les aspects techniques liés à MSRP et GTP pour mai 2012.

Un ingénieur de Qosmos ajoute : « Pour moi, le projet n’était pas opérationnel car on ne savait pas faire pour de tels débits. Entre les cases que l’on coche dans un appel d’offres pour en être et ce que l’on peut vraiment faire, il y a parfois une différence. »

Pour d’autres employés, le projet aurait pu au moins être partiellement opérationnel, en tout cas assez pour être utilisé, par la suite, par les autorités syriennes grâce à des correctifs et des mises à jour. Le problème dans cette affaire est que, officiellement, le projet Asfador n’a aucune existence. Il n’a en effet fait l’objet d’aucun contrat spécifique et s’inscrit simplement dans le cadre de l’accord de partenariat signé entre Qosmos et Utimaco. Et ce dernier a, lui, bien continué, et ce jusque fin 2012.

Des livraisons jusque mi-2012

C’est ce que montrent d’autres documents obtenus par Mediapart et Reflets : malgré l’arrêt officiel du projet Asfador, Qosmos a continué à livrer ses produits à Utimaco. Dans un document de travail datant du premier trimestre 2012, et faisant le point sur l’avancement des différents contrats en cours, le nom Utimaco apparaît en effet à de nombreuses reprises, avec des dates de livraisons prévues pour les mois de mai et juin 2012.

Même si Qosmos et Utimaco pouvaient travailler sur d’autres projets que le projet syrien, Utimaco avait un accès direct aux mises à jour du produit d’interception massive de Qosmos. Or, pour mettre à jour les sondes dans le cadre d’un projet tel qu’Asfador, pas besoin de « livraison » au sens matériel du terme : les clients, ici Utimaco, ont en effet accès à un site spécialement dédié sur lequel ils téléchargent les nouvelles versions améliorées du logiciel. Selon les documents consultés par Mediapart et Reflets, Qosmos a donc bien livré des versions corrigées et améliorées de sa solution d’interception à son client Utimaco, bien que le nom du projet « Asfador » n’apparaisse pas.

Si les sondes de Qosmos n’ont pas été opérationnelles en Syrie, comme l’affirme Thibaut Bechetoille, il est assez intrigant que son entreprise continue de livrer des informations sur les procédures à suivre pour les paramétrer, quelque neuf mois après le retrait supposé de Qosmos… Surtout à propos de protocoles spécifiquement demandés par STE, l’entreprise syrienne, dans le cadre du projet Asfador.

Reste la possibilité d’autres projets, outre Asfador, menés en partenariat avec Utimaco. Selon nos informations, des dirigeants de Qosmos ont ainsi évoqué l’existence d’autres clients de la société allemande, au Canada ou encore en Australie… Toutefois parmi les différents salariés interrogés par nos soins, aucun n’a souvenir, à l’époque, d’un autre projet qu’Asfador avec Utimaco. « Pour moi les deux ont toujours été liés et pour tout dire, je n’ai jamais su faire la différence entre les deux », précise l’un d’entre eux.

Autre certitude : bien que sa direction se réfugie derrière son partenariat avec Utimaco, Qosmos avait en fait bien conscience de l’utilisation qui pouvait être faite de ses sondes par le régime syrien. Dès le début du projet, l’objectif est clair : outre les activités classiques de surveillances du réseaux, Qomos doit livrer des sondes capables d’intercepter les appels téléphoniques, de géolocaliser l’utilisateur d’un téléphone portable, d’analyser la voix et même de prendre le contrôle d’ordinateurs ou de lancer des cyber-attaques.

De plus, la direction de Qosmos était consciente que ces armes de surveillance massive étaient destinées au régime de Bachar al-Assad. Au mois de septembre 2013, le journaliste Jean-Marc Manach précisait même, dans un article sur Rue89 à l’occasion de la publication des Spyfiles par Wikileaks, qu’un employé de Qosmos s’était rendu en Damas. « Un ingénieur Qosmos a effectué un déplacement en Syrie en janvier 2011, en tant que sous-traitant de l’entreprise Utimaco, elle-même sous-traitante de l’entreprise Area. Ce déplacement a consisté en des réunions techniques avec des opérateurs dans le cadre de la pré-étude du projet. »

Cet ingénieur, qui est, selon nos informations, Sébastien Synold, actuel responsable du bureau américain de Qosmos, ne pouvait absolument pas ignorer à quoi allaient servir les produits de sa société. Il connaissait le client final (STE) et ses demandes précises en matière de type d’écoutes. A fortiori, Thibaut Bechetoille ne pouvait ignorer à quoi allaient servir ses sondes. D’autant que les types de protocoles évoqués dans les documents de l’entreprise montrent ce qui était attendu. Encore une fois, on ne surveille pas la même chose lorsque l’on fait de la mesure d’audience et de la surveillance massive. Par ailleurs, les outils évoqués dans les documents de Qosmos pour le projet Utimaco sont affublés du sigle « LI », soit : Lawful Interception, ou Interception Légale.
Ce qui est d’ailleurs une vision très particulière de ce qu’est l’interception légale. De fait, récupérer les identifiants, les mots de passe des utilisateurs du Net Syrien, lire leurs mails, savoir quelles pages Web ils consultent, etc., ne ressemble pas tellement à de l’interception légale, telle qu’on peut la concevoir dans une démocratie. L’aspect global de la mise sur écoute s’éloigne grandement de ce qui peut être fait par la justice, sur réquisition d’un juge…

Contactée pour s’exprimer sur ces différents points, la société refuse catégoriquement de répondre : « Qosmos tient à démentir fermement, comme nous n’avons cessé de le faire, les accusations fausses et calomnieuses dont nous avons fait l’objet depuis plusieurs mois », explique-t-elle dans un mail. « En effet, nous réaffirmons qu’aucun de nos équipements ou logiciels n’a été opérationnel en Syrie. Nous souhaitons rappeler que nous avons, dès septembre 2012, porté plainte pour dénonciation calomnieuse à l’encontre de la FIDH et de la LDH. Pour le reste, une information judiciaire étant en cours, nous réservons nos réponses à la justice. »

En attendant, la vice-procureure Aurélia Devos, qui a étudié près de deux ans durant les éléments apportés par la FIDH et la LDH dans leur dénonciation, et qui a mené ses propres auditions, a bel et bien décidé l’ouverture d’une information judiciaire. C’est maintenant aux trois juges d’instruction saisis du dossier de déterminer si Qosmos devra être jugée pour « complicité d’actes de torture ».

Par Antoine Champagne

Journaliste, dinosaure du Net pour certains, pas trop mauvais en sécurité informatique, je m'intéresse également à l'évolution de la chose politique ou à la finance mondiale. Je suis par ailleurs le co-fondateur de www.reflets.info, un journal en ligne qui allie le monde des hackers à celui des journalistes, créant de nouvelles formes d’enquêtes journalistiques. Ce journal a été à l'origine de révélations sur la surveillance massive à l’échelle de pays entiers.