2. Suite de la première partie. Pourquoi les Etats ont-ils fait appel aux services d’Hacking Team ?
2.1 Les Etats clients d’Hacking Team
Tous les États ne disposant pas des ressources des États-Unis, de la Russie, ou même d’Israël et du Royaume-Uni, il est possible de voir Hacking Team comme un fournisseur de cyber-arme offrant à des puissances de second ou troisième ordre la possibilité de combler une partie de leur retard.
Cela est confirmé par les premières analyses de données fuitées, selon lesquelles il semble que la société italienne ait vendu ses services à nombre de structures publiques issues des pays suivants :
Ces puissances ont ainsi choisi de payer le coût de la solution RCS plutôt que d’investir dans le développement de leurs propres outils. Les clients les plus probables des services d’Hacking Team sont les forces de l’ordre et les agences de renseignement. Ainsi, le FBI aurait dépensé 775 000 USD (714 450 EUR) dans l’achat de solution de la société italienne[12]… parfois dans le cadre d’opérations dont la relative simplicité technique fait s’interroger sur les capacités de l’agence américaine en matière de cyber-espionnage[13].
Parmi les pays cités ci-dessus se trouvent des régimes sous embargo (comme le Soudan), mais également des pays dont les services de renseignement devraient disposer des moyens nécessaires pour ne pas dépendre de solutions étrangères pour leurs opérations ; les États-Unis, la Corée du Sud, l’Espagne, l’Allemagne, l’Italie ou la Russie, pour ne citer qu’eux.
Au-delà de la problématique morale relative à la vente d’outils potentiellement liberticides à des États placés sur des listes de sanctions internationales (comme la Russie[14]), et dont les faibles ressources et compétences en matière de cyber-défense pourrait expliquer l’appel aux services d’Hacking Team, force est de s’interroger sur les raisons conduisant des États occidentaux bénéficiant de solides ressources et expertises en la matière à choisir de payer pour l’accès à des outils coûteux, peu sûrs et dont le développement en interne ne présente que des avantages[15].
2.2 Quelques pistes de réponse…
L’État n’étant pas un monolithe homogène au sein duquel la communication et le partage des moyens s’opèrent de façon pure et parfaite, faut-il chercher derrière le cloisonnement (et même la concurrence entre) des entités de renseignement les raisons de l’achat de RCS par certaines ? Les réglementations relatives aux missions des différentes entités en charge du renseignement peuvent-elles être à la fois trop contraignantes pour permettre le développement interne de cyber-armes, et suffisamment lâche pour autoriser la souscription à des solutions privées comme RCS ?
Les problématiques de sécurité de l’information, encore mal connues en dehors de quelques services spécialisés, souffrent-elles toujours de leur réputation de complexité, au point que, par facilité, certains ont fait le choix d’en sous-traiter certains des (plus dangereux) aspects ?
Hacking Team proposait-elle des services « clés en main », une sorte de RCS livré à l’acheteur avec de quoi mettre en place une infrastructure dédiée indépendante de la société italienne (avec, pourquoi pas, une partie du code source, un service après-vente et des séminaires de formation) ?
2.3 De la vente de cyber-armes à la fourniture d’outils de cyber-espionnage… à des fins économiques ?
Une autre question dont les implications pourraient être immenses : la firme italienne ne vendait-elle ses outils qu’à des entités publiques, ou disposait-elle de clients privés ? Et si elle disposait en effet de clients privés, ceux-ci agissaient-ils avec l’aval des services publics (dans le cadre de sous-traitance de solutions d’interception notamment) ou bien jouissaient-ils d’une certaine liberté d’action dans le choix de leurs opérations et de leurs cibles ?
Des sources électroniques suggèrent que la solution RCS a été vendue à une compagnie brésilienne, Yasnitech Ltda. Enregistrée le 05/02/2013 à Sao Paulo, cette société opère dans le secteur du conseil, notamment technologique, financier et de sécurité. Hacking Team aurait vendu un accès de trois mois à RCS, permettant à Yasnitech d’infecter des systèmes d’exploitation mobiles comme Android ou Blackberry[16].
Extrait cadastral relatif à la société Yasnitech Ltda
Vente de RCS à la société brésilienne Yasnitech Ltda[17]
La lecture d’échanges[18] entre l’équipe d’Hacking Team et le CEO de la société Yasnitech Ltda, M. Luca Gabrielli (mentionné dans l’extrait légal ci-dessus), permet de se faire une idée des rapports qui ont pu exister entre le prestataire et le client. Le premier ne semble pas satisfait par les services proposés…
En effet, un consultant junior d’Hacking Team, Eduardo Pardo, a été envoyé au Brésil, et cela semble poser beaucoup de problèmes à Yasnitech Ltda, en ce que ce dernier donne l’impression de ne faire que transmettre la connaissance de personnes basées à Milan ; M. Gabrielli critique son absence de maîtrise des réseaux cellulaires et de l’outil RCS, son attitude, etc.
Aucune mention n’est faite d’une tierce partie (agences de renseignement brésiliennes ou autres). Dans un email du 28/05/2015, Eduardo Pardo mentionne une autorisation donnée par un juge d’infecter des cibles mobiles, et évoque l’échange entre un analyste, Gilberto, qui a réclamé du temps à son patron (Hugo) afin de collecter des informations par ingénierie sociale (systèmes d’opération mobiles utilisés, noms, etc.).
L’étude des champs lexicaux employés lors de ces échanges offre un éclairage intéressant sur la nature des relations entre les deux sociétés privées. En effet, des termes caractéristiques de la sphère privée (« clients », « approche cliente », « consultant junior ») cohabitent avec des comportements et objectifs typiques d’opérations de renseignement (autorisation d’un juge, ingénierie sociale, définition et infection de cibles, etc.).
Autre exemple : Hacking Team a travaillé avec la société française, Azur intégration[19]. Basée à Nice, cette société fournirait « de longue date des solutions d’interception au ministère de la justice ». La firme italienne serait passée par cette structure française pour vendre l’outil RCS à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.
Toujours selon la même source : Hacking Team aurait été approchée par un consultant de la société Advanced Systems (ex-Amesys) afin d’offrir ses services au ministère de l’Intérieur d’Arabie Saoudite. Il est question d’un « intermédiaire local », une société dont la raison sociale est Genius Valley et qui serait une filiale de Qwaed Technologies. Une propale aurait été envoyée, offrant la solution RCS pour 2,1 million EUR.
3. Des missions de renseignement classiques à l’intelligence économique ?
Tous ces exemples ne sauraient démontrer que des entreprises privées ont acheté des outils de cyber-espionnage pour servir leurs fins personnelles. Toutefois, ils ne prouvent pas, non plus, que cela ne soit pas arrivé.
Plus encore, ils permettent de corriger la communication institutionnelle d’Hacking Team : non, elle ne vend pas uniquement ses outils à des États ; il lui arrive de passer par des intermédiaires privés (qui touchent alors une commission), voire de vendre ses solutions à des structures privées (Yasnitech Ltda) dont on peut supposer, sans en avoir la certitude, qu’elles agissent comme sous-traitants d’entités publiques…
Cela démontre à tout le moins que la frontière est floue et s’estompe, entre les missions de renseignement « classiques » et l’espionnage économique et industriel, voire l’intelligence économique.
3.1 L’intelligence économique : une discipline en voie de mutation ?
Saint Wikipedia le dit : « L’intelligence économique est l’ensemble des activités coordonnées de collecte, de traitement et de diffusion de l’information utile aux acteurs économiques, en vue de son exploitation[20] ». Il est également précisé que, d’un point de vue éthique, l’origine de l’information en question est généralement blanche (légale et/ou officielle, sources ouvertes librement accessibles) ou grise (informelle). L’information noire, obtenue illégalement, sort du champ de l’intelligence économique, en ce qu’elle fait basculer les pratiques de la discipline dans l’espionnage économique pur et simple.
« Intelligence économique » : si cet anglico-néologisme est toujours en quête de compréhension de la part de l’opinion publique en France, tant il est vrai que le renseignement économique souffre de parallèle(s) avec l’espionnage industriel et classique, force est de constater qu’aujourd’hui, la possibilité pour des entreprises privées de souscrire à des services ayant pour objectif d’acquérir (illégalement ou non) des éléments d’information sur les activités de leurs concurrentes tend vers la légitimation empirique de dangereuses pratiques.
Jusqu’ici, bien naïf celui qui pensait que de grands groupes internationaux ne bénéficiaient pas de l’appui des forces publiques, qu’il soit question de diplomatie économique ou de renseignement d’origines diverses. Certaines multinationales ont la possibilité de jouir d’informations de première main, ne serait-ce que sur la base d’un relatif patriotisme économique. Parfois, les multinationales en question disposent de connexions et capacités telles que de véritables réseaux parallèles de renseignement se mettent en place.
Mais qu’en est-il des sociétés plus petites ?
Est-il possible que Yasnitech Ltda ait souscrit aux services d’Hacking Team sans que les pouvoirs publics brésiliens en aient eu connaissance ? Probablement pas. Mais dès lors que s’entrouvre la possibilité pour les entreprises de s’émanciper de la tutelle étatique en matière de politiques de renseignement, ne serait-ce que d’un point de vue pratique, le risque de voir des groupes privés s’affronter sur des terrains autrefois régaliens pourrait dangereusement augmenter.
3.2 Si Hacking se fait pwner (pirater) aussi facilement, quel avenir pour les entreprises dont la confidentialité est le cœur de métier ?
Le dump de données relatives à Hacking Team a ceci de particulier que tout, pratiquement tout, a été récupéré par l’attaquant. Dans le cas où une entreprise a un certain nombre de données à protéger, certaines tactiques de compartimentation devraient être à privilégier ; compartimentation des utilisateurs, des secteurs, des documents, des clients, des méthodes.
Toutefois, Hacking Team n’a vraisemblablement pas respecté les plus élémentaires précautions en matière de sécurité de l’information[21]. Le piratage a eu lieu en raison de la compromission des comptes de deux administrateurs, MM. Christian Pozzi et Mauro Romeo… dont l’un des deux n’était dans l’entreprise que depuis à peine plus d’un an ! Aucune des données confidentielles, qu’il soit question de la liste des clients ou du code sources des outils développés, n’était chiffrée. Enfin, parvenir à exfiltrer un plus d’un téraoctet de données sans que les administrateurs ne s’en rendent compte, permettre l’identification de chaque client de la société, ne pas communiquer de façon sécurisée… un comble, pour une société de sécurité !
Comment comprendre que même les entreprises exposées chaque jour aux attaques les plus critiques (dont des APT, Advanced Persistent Threat, ou Menaces Persistantes Avancées) ne prennent pas au sérieux les risques inhérents à développer une activité dans le cyberespace ?
4. Conclusion
Le piratage d’Hacking Team est loin d’être un fait divers banal :
-
la nature de la cible,
-
la puissance des solutions vendues,
-
la portée du piratage,
-
l’identité des clients de la société (et notamment leur caractère privé).
Autant d’éléments qui doivent nous alerter sur l’évolution des pratiques d’espionnage, et plus généralement de renseignement. Il conviendra d’observer avec attention les futurs développements du secteur, et notamment le comportement normatif des États en la matière.
Adrien Gévaudan est géoconomiste et consultant en intelligence économique.[1] Reporters Sans Frontières, http://surveillance.rsf.org/hacking-team/
[2] Hacking Team, Remote Control System, Wikileaks.org, https://www.wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf
[3] Ibid
[4] D’autres auraient pu être citées, bien évidemment ; toutefois, le propos ici est de comparer les services proposés par Hacking Team et les capacités d’actions d’Etats dans le cyberespace. Ainsi, les cyber-attaques de 2007 ayant ciblé l’Estonie, bien que vraisemblablement représentatives, ont-elles été écartées car consistant majoritairement en attaques DDoS
[5] Brochure Galileo, Site de la société Hacking Team, http://www.hackingteam.it/images/stories/galileo.pdf
[6] Cyberwarzone, http://cyberwarzone.com/darkcomet-rat-explained/
[7] Security Affairs, 24/06/2014, http://securityaffairs.co/wordpress/26064/intelligence/hackingteam-c2-revealed.html
[8] Anti-virus Bypass with Shellter 4.0 on Kali Linux, 12/07/2015, https://cyberarms.wordpress.com/2015/07/12/anti-virus-bypass-with-shellter-4-0-on-kali-linux/
[9] Cyberwarzone, http://cyberwarzone.com/a-look-at-the-luminositylink-rat/
[10] Intelligence Online, 22/07/2015
[11] Mediapart, 10/07/2015, http://www.mediapart.fr/journal/france/100715/renseignement-la-france-deja-negocie-lachat-de-logiciels-espions
[12] Wired, 07/06/2015, http://www.wired.com/2015/07/fbi-spent-775k-hacking-teams-spy-tools-since-2011/
[13] The Hacker News, 15/07/2015, http://thehackernews.com/2015/07/fbi-hacking-team-tor-network.html
[14] Ars Technica, 17/07/2015, http://arstechnica.com/tech-policy/2015/07/hacking-teams-surveillance-software-sold-to-kgb-successor/
[15] Coûts plus faible, Surface de détection limitée, réutilisation des sources, etc.
[16] The Guardian, 06/07/2015, http://www.theguardian.com/technology/2015/jul/06/hacking-team-hacked-firm-sold-spying-tools-to-repressive-regimes-documents-claim
[17] Capture d’écran d’une facture d’Hacking Team, Twitter, 06/07/2015, https://twitter.com/netik/status/617916052052144128
[18] Wikileaks, échanges du 28/05/2015, https://wikileaks.org/hackingteam/emails/emailid/836145
[19] Intelligence Online, 22/07/2015
[21] Mother Board, Vice, 06/07/2015, http://motherboard.vice.com/read/hacking-team-asks-customers-to-stop-using-its-software-after-hack
La question de sécurité informatique et de protection des données revient souvent en ligne de mire dans une structure publique. Et oui, lorsque les Etats ne disposent pas de ressources nécessaires, faire appel à un prestataire privé est de mise.
[…] Le piratage d’Hacking Team est loin d’être un fait divers banal. Autant d’éléments qui doivent nous alerter sur l’évolution des pratiques de renseignement… […]