Des chevaux de Troie dans nos démocraties
OWNI lève le voile sur les chevaux de Troie. Ces logiciels d'intrusion vendus aux États, en particulier en France et en Europe, pénètrent tous les systèmes, depuis les smartphones jusqu'aux connexions WiFi. Enquête réalisée en partenariat avec WikiLeaks.
Ces dernières années, un quarteron d’entreprises privées a développé des logiciels espions visant à déjouer tous les mécanismes de sécurité ou de chiffrement des communications utilisés par ceux qui cherchent à protéger leurs données, et leur vie privée. Ces logiciels, ce sont des chevaux de Troie. OWNI, en partenariat avec WikiLeaks dans le cadre de la publication des SpyFiles, s’est penché sur les documents se rapportant à ces technologies très particulières.
Comme dans la mythologie, un cheval de Troie se fait passer pour ce qu’il n’est pas, permet de prendre le contrôle total de l’ordinateur qu’il infecte, à distance, de sorte de pouvoir y lire les données avant même qu’elles ne soient chiffrées et donc sécurisées, ou encore de pouvoir y activer le micro, ou bien la caméra, et cætera.
Les hackers allemands du Chaos Computer Club ont ainsi récemment révélé comment la police allemande utilisait, en toute illégalité selon eux, un tel virus informatique pour espionner les ordinateurs de criminels supposés.
Mouchards
La police suisse a reconnu utiliser elle aussi le même cheval de Troie. Début novembre, la France publiait de son côté, au Journal Officiel, la liste des services, unités et organismes habilités à installer de tels logiciels espions permettant, à distance, la “captation des données informatiques“, terme officiel pour qualifier l’utilisation de mouchards informatiques.
Les documents internes de la société FinFisher démontrent ainsi toute l’étendue du savoir-faire de ces pirates informatiques au service, officiellement, des seuls forces de l’ordre et des services de renseignements. Dans le cadre de l’opération SpyFiles menée avec WikiLeaks, nous avons pu recueillir plusieurs vidéos d’entreprise de cette société, réalisées à des fins commerciales, pour convaincre leurs clients – essentiellement des États – de la simplicité de leurs outils d’espionnage. En voici un montage (la musique et les explications sont d’origine), révélateur du fonctionnement de ces chevaux de Troie :
Chiffrés
Un reportage diffusé dans le magazine Zapp de la chaîne de télévision allemande ARD [en] montre qu’ils ont aussi servi à espionner des défenseurs des droits de l’homme en Egypte. Pire : on y découvre que si le discours officiel des autorités allemandes est de soutenir les défenseurs des libertés de ce “printemps arabe“, dans les faits, elles soutiennent également, et activement, l’exportation de ces armes de surveillance, même et y compris à des dictateurs ou des régimes totalitaires où elles sont utilisées pour réprimer la population, au motif qu’il s’agirait d’un “marché du futur“.
Ces comportements, favorisant le développement de telles technologies intrusives, s’expliquent par l’évolution de nos relations aux télécommunications. Car, signe des temps, si la majeure partie des conversations téléphoniques et des données échangées sur le Net circulent en clair, une partie de plus en plus importante de ces flux d’information sont désormais chiffrés.
En 1991, Philip Zimmermann, un développeur américain, met en ligne Pretty Good Privacy (PGP), le premier logiciel de cryptographie grand public permettant à ses utilisateurs de pouvoir échanger des emails ou documents chiffrés, et donc sécurisés au sens où, même interceptés, ils ne peuvent pas être déchiffrés.
Jusqu’alors, ce genre de systèmes n’était utilisé que par les services de renseignements, les militaires, ambassades, gouvernements et, bien entendu, les espions. Mais dans la mesure où les données circulant sur le Net sont à peu près aussi protégées que le sont les cartes postales, Zimmermann estima que les internautes devaient pouvoir fermer l’enveloppe, et donc communiquer en toute confidentialité.
Dans les faits, la robustesse de PGP s’apparenterait plutôt à celle d’un coffre-fort. Pour communiquer, leurs utilisateurs doivent installer le logiciel, et créer une “clef publique“, sorte de coffre-fort ouvert et mis à disposition des autres utilisateurs, et une “clef privée“, qui permet d’ouvrir le coffre-fort une fois celui-ci fermé. Si quelqu’un veut communiquer avec moi, il place le message dans mon coffre-fort public, claque la porte, que je serai le seul à pouvoir ouvrir en utilisant ma clef privée.
La mise en ligne de PGP visait à améliorer la protection des droits de l’homme et la défense de la vie privée, comme il l’expliqua brillamment dans un texte placé sous l’égide du Mahatma Gandhi. Dans les faits, elle lui valut aussi d’être poursuivi, pendant trois ans, par les autorités américaines, qui voyaient d’un très mauvais Å“il ce qu’elles qualifièrent alors d’“exportation illégale de matériel de guerre”.
Dans un grand nombre de pays, la cryptographie relève en effet de cette catégorie de matériels sensibles que l’on ne peut pas exporter sans l’aval des autorités. A l’époque, Zimmermann bénéficia du soutien d’internautes du monde entier, et les autorités américaines abandonnèrent leurs poursuites. Son logiciel était accessible, et utilisé, dans le monde entier.
Dans le même temps, l’essor du commerce électronique rendait obligatoire la libéralisation de la cryptographie : le seul moyen de sécuriser les transactions est en effet de faire de sorte que l’on puisse envoyer son n° de carte bancaire sur le Net sans risque de le voir intercepté. Et c’est précisément pour cette raison que la France, qui la classait jusqu’alors comme relevant du matériel de guerre, libéralisa finalement la cryptographie à la fin des années 90.
Vie privée
Depuis, un nombre croissant de sites, non seulement de commerce électronique, mais également de réseaux sociaux, fournisseurs de mails, etc., sont accessibles en https
(“s” pour “sécurisé“), rendant inopérante les écoutes classiques. L’EFF, pionnière des organisations de défense des droits de l’homme et de la vie privée sur le Net, a ainsi développé un plugin pour Firefox, HTTPS everywhere, afin de généraliser, autant que faire se peut, l’utilisation du https
.
Skype et BlackBerry, utilisés par des centaines millions de personnes pour se téléphoner, ou échanger des données, dans le monde entier, sont eux aussi un cauchemar pour les espions aux “grandes oreilles“, dans la mesure où, même interceptées, les communications, chiffrées, sont a priori indéchiffrables.
GnuPG, le logiciel de protection de la vie privée qui permet de chiffrer, sécuriser et authentifier données et e-mails, et qui a supplanté PGP, est de son côté utilisé par la quasi-totalité des développeurs de logiciels libres. Et, au vu de la montée en puissance des technologies de surveillance, nombreux sont désormais les internautes à utiliser des coffre-forts électroniques, tel TrueCrypt, pour sécuriser leurs données et éviter qu’elles ne puissent tomber dans de mauvaises mains.
Afin de répondre aux risques d’espionnage informatique, ou de pertes de données confidentielles, les autorités elle-mêmes encouragent les entreprises à apprendre à leurs salariés comment s’initier à la sécurité informatique, et sécuriser leurs communications (voir, à ce titre, mon Petit manuel de contre-espionnage informatique).
C’est cette évolution des pratiques numériques qui a favorisé l’émergence de systèmes de surveillance et d’intrusion de plus en plus sophistiqués, qui répondent de nos jours à la demande de tous les États. La question reste de savoir qui encadrera l’exportation de ces armes de surveillance de sorte que nos démocraties cessent de porter aide et assistance aux dictateurs…
Photos des chevaux de troie au festival Burning man par Abraxas3d [cc-bync] et Terra Incognita [cc-bync] via Flickr
Retrouvez notre dossier sur le sujet :
Un gros requin de l’instruction et Une journée sous surveillance
Tous les articles OWNI/WikiLeaks sont lÃ
Laisser un commentaire