Comment les États-Unis nous espionnent !

Mehdi Atmani : 14 décembre 2019. La bombe arrive sur ma messagerie sécurisée. Une source me contacte anonymement, je ne connais pas son nom. Elle prétend travailler pour un service de renseignement étranger. Voici ce que m’écrit ce mystérieux personnage : « Depuis des décennies, les États-Unis espionneraient les banques suisses, l’industrie, les offices fédéraux, les universités et les hautes écoles, ainsi que les administrations publiques grâce à du matériel informatique truqué. » Si ces faits sont avérés, c’est un énorme scandale pour la Suisse. Ce petit pays immensément riche, qui a mis tout son succès sur le secret, serait en fait sous écoute américaine depuis toujours.
Ma source me propose un rendez-vous dans le village vaudois de Cully, mais à certaines conditions : pas de téléphone portable, pas d’ordinateur, pas d’enregistreur non plus. Tout cela est-il bien séreux ? Le seul moyen d’en avoir le cœur net est de me rendre au rendez-vous.
Nous avons reconstitué cet entretien avec l‘aide d’un comédien, là où il s’est déroulé, sur la base de mes prises de notes.

Mehdi Atmani : Bonjour.

Source : Bonjour.

Mehdi Atmani : Enchanté.

Source : Enchanté.

Mehdi Atmani : Enfin on se rencontre.

Source : Oui, vous m’avez trouvé.

Mehdi Atmani : Difficilement.

Source : On prend des précautions quand même, c’est mieux pour tout le monde.

Mehdi Atmani : On va par où ?

Source : Ici, à gauche, si ça vous va.

Mehdi Atmani : Je vous suis. Pourquoi me rencontrer aujourd’hui ?

Source : Parce qu’à l’origine j’ai été recruté par un service de renseignement étranger pour différentes missions au sein d’entreprises privées dont Sun Microsystems.
Au sein de Sun je n’étais pas dans la confidence de mon employeur, mais je me suis douté assez rapidement de ce à quoi servait mon travail de facilitateur de contrats pour la vente de matériel truqué à certaines cibles. J’ai dû me conformer aux règles de Sun qui provenaient indéniablement du gouvernement américain, c’est-à-dire faciliter la pénétration commerciale sur toutes les cibles identifiées et à n’importe quel prix.

Mehdi Atmani : La source prétend avoir eu pleinement conscience de vendre du matériel informatique truqué à tout prix et à tout le monde.
Au début d’Internet, dans les années 1990, les clients n’y auraient vu que du feu ; soit ils étaient complètement naïfs, soit pas assez curieux quant aux produits qu’ils achetaient. Mais commençons notre histoire par celle de Sun Microsystems, l’entreprise américaine qui a su asseoir son pouvoir sur le marché suisse des technologies.
Fondée en 1982 dans la Silicon Valley, Sun Microsystems est une success-story à l’américaine. Ambitieuse, l’entreprise développe un modèle d’affaires simple mais implacable pour écraser la concurrence : connecter toutes les entreprises à Internet. Elle fabrique les machines, les serveurs et le langage de programmation Java qui permet aux applications et aux sites web de fonctionner. En d’autres termes, elle fournit une offre complète aux entreprises. Elles peuvent ainsi surfer sur la vague internet qui déferle sur la planète.
En 1996, Sun débarque à Genève et à Zurich avec un objectif clair : s’accaparer le marché suisse.
En tant qu’ancien responsable sécurité pour Sun Europe, le français Gilles Gravier se rappelle de ses débuts en Suisse. Son rôle au sein de la société était d’encourager les entreprises à se connecter à Internet.

Gilles Gravier : Ma tâche était de supporter les équipes de vente et d’aider nos clients dans les problématiques de l’Internet au début. 1994 c’était le premier internet commercial, les gens ne connaissaient pas, donc il fallait expliquer, il fallait convaincre les uns et les autres d’utiliser Internet pour leur métier, pour leur travail, pour leur business alors que personne ne savait par où commencer.

Mehdi Atmani : Le patron de Sun, Scott McNealy, homme d’affaires à l’impeccable costume, affectionne la Suisse. Il sillonne les rues de Zurich pour serrer la main des clients, les directeurs généraux des banques et de l’industrie suisse. Cette opération séduction est un succès.

Gilles Gravier : Grosso modo, toutes les entreprises suisses étaient clientes de Sun. Dès que quelqu’un était connecté à Internet c’était sur du Sun, donc n’importe quel grand groupe pouvait l’avoir s’il en avait besoin.

Mehdi Atmani : Est-ce que vous saviez que vos machines étaient potentiellement truquées par les espions américains ?

Gilles Gravier : Je n’en ai aucune idée, honnêtement, aucune idée. Franchement, à part le fait que la NSA devait être un de nos gros clients, mais comme à peu près tous les services de renseignement un peu partout sur la planète ; on veut être client de la NSA.

Mehdi Atmani : À Genève, la mission diplomatique des États-Unis occupe le plus gros bâtiment du quartier international. On sait depuis 2013 que la mission hébergeait alors une antenne de la NSA, la National Security Agency, le renseignement électronique américain. La NSA est la plus puissante agence d’espionnage des États-Unis et le plus gros employeur de l’État du Maryland. Avec un budget annuel qui avoisinerait les 11 milliards de dollars et ses 40 000 agents qui seraient postés dans le monde, sa force de frappe en matière de collecte d’informations est colossale, grâce notamment aux stations d’écoute que la NSA gère sur la planète dont celle de Genève. Ici, c’est un terrain de jeu stratégique pour les espions américains. Les négociations diplomatiques, les banques, la finance, tout les intéresse et rien n’échappe à leurs oreilles.br/>

Bruce Schneier est une star mondiale de la sécurité informatique et un conférencier très courtisé. L’Américain connaît tous les petits secrets de la NSA. Il a travaillé au département américain de la Défense. Depuis 20 ans, il dénonce la surveillance étatique, notamment de la NSA.

Bruce Schneier, traducteur : La devise de la NSA est de tout collecter. L’agence est infiltrée dans les réseaux téléphoniques du monde entier, collectant une quantité extraordinaire d’informations. Ces informations concernent des citoyens étrangers et des citoyens américains. Cet espionnage continue parce que la NSA peut se le permettre. La façon dont l’agence obtient du renseignement est de tout collecter puis de prendre ce dont elle a besoin.

Mehdi Atmani : Edward Snowden [1], l’ex-espion de la NSA qui a travaillé deux ans sous couverture à Genève, confirme ces affirmations. En 2013, il révélait comment l‘agence infiltre le secteur privé pour surveiller le monde entier. Les relations commerciales entre la NSA et Sun Microsystems sont du domaine public, mais les détails de cette collaboration restent méconnus.

Bruce Schneier, traducteur : La façon dont la NSA collabore avec les sociétés technologiques n’est pas très claire. Nous ignorons si ces entreprises sont corrompues, cajolées, menacées ou simplement si la NSA leur demande gentiment. L’autre hypothèse est que la NSA utilise leurs infrastructures sans but précis.

Mehdi Atmani : En Suisse, qui étaient les clients de Sun Microsystems ?

Source : Presque tous les offices fédéraux dont l’Office fédéral de la statistique, mais aussi Givaudan, Firmenich, Deutsche Bank le CERN, Reuters, la banque Lombard Odier, Julius Bär, Crédit suisse, UBS, la banque Pictet, la BCGE [Banque cantonale de Genève], mais aussi les universités de Genève, Lausanne, Berne, l’EPFL [École polytechnique fédérale de Lausanne], l’ETH [École polytechnique fédérale de Zurich], la BCV [Banque Cantonale Vaudoise], les cantons de Vaud, Zurich, Berne. Dans mes archives j’ai une liste avec toutes les machines installées et les adresses IP concernées. Dès 1998, tous ont acheté le plus gros système Sun.

Mehdi Atmani : Nous avons retrouvé un des clients de Sun, l’université de Genève. Encore aujourd’hui, ses serveurs de données et ses logiciels informatiques tournent sur du matériel Sun. Or, selon notre source, ce matériel serait équipé d’un dispositif ingénieux qu’on appelle une porte dérobée [2]. Une porte dérobée c’est un passage secret et invisible dans du matériel informatique physique ou un logiciel. Les espions l’empruntent pour écouter ou voler des informations.
Nous avons parlé des soupçons d’espionnage avec Alain Hugentobler. Depuis 25 ans il pilote la sécurité informatique de l’université de Genève et, depuis 25 ans, il n’a rien à redire sur la qualité des produits.

Alain Hugentobler : Nous sommes client de Sun Microsystems depuis le milieu des années 1980. Historiquement on a été parmi les premières organisations qui ont été connectées à Internet. C’est du matériel qui a toujours fonctionné correctement, avec des performances correctes, tout à fait ce qu’on attendait. Au niveau de la fiabilité c’était extrêmement fiable.

Mehdi Atmani : À un moment ou à un autre avez-vous suspecté la présence de portes dérobées dans le matériel ou les cartes mères qu’on vous livrait ?

Alain Hugentobler : Non. Aucunement.

Mehdi Atmani : Pourtant, selon nos informations, c’est par le réseau de communication de l’université de Genève que l’espionnage américain a pu s’infiltrer à grande échelle dans le monde académique. En Suisse, en effet, toutes les universités, hautes écoles et centres de recherche sont reliés à Internet par le réseau de communication Switch. Les courriers électroniques, le transfert des données, passent par cette autoroute de l’information. Si des espions exploitent une faille dans les machines Sun de l’université de Genève, ils ont accès à toutes les institutions reliées par Switch.
Espionner le monde universitaire fait partie des techniques de pêche de la NSA, un petit poisson. Mais qu’en est-il des plus gros poissons comme les banques suisses par exemple. La Rolls de l’économie suisse a toujours été dépendante du matériel informatique de Sun pour le stockage et le transfert des données. Si la NSA disposait bien d’accès secrets aux machines de Sun, comme le prétend notre source, elle aurait donc eu accès aux données bancaires, ainsi qu’aux flux de transactions, de quoi donner un sacré coup de pouce à Washington dans plusieurs dossiers, celui de son bras de fer avec la Suisse sur le secret bancaire et l‘évasion fiscale par exemple ou celui du financement du terrorisme. L’enjeu est donc énorme si les informations de notre source se confirment. Alors au travail, avec la tâche de prouver les allégations de notre source. Les entreprises suisses ont-elles bien été espionnées par la NSA grâce aux technologies truquées de Sun ?
En janvier 2020, je m’attaque au portrait robot de Sun : nombre d’employés, technologie, chiffre d’affaires. Je mets la main sur les archives de l’université de Genève, j’épluche les contrats de maintenance, j’analyse les contrats d’achat. Je creuse les abysses d’Internet à la recherche d’un document, un e-mail et de tous les petits détails qui me mettraient sur la bonne piste. Je scanne les documents publiés par Edward Snowden et commande les dossiers complets de Sun auprès des registres du commerce de Genève et de Zurich. Grâce à ces informations, j’ai désormais une connaissance intime de Sun, mais aucune preuve d’un quelconque trucage de matériel pour la NSA, du moins pas encore.

Mehdi Atmani : Quel était votre mandat ?

Source : J’analysais les cibles potentielles. Je transmettais au responsable notre besoin de les cibler avec une offre commerciale ultra concurrentielle. On remontait les problèmes commerciaux et on les résolvait par tous les moyens pour faire passer l’accord. Personne ne devait nous connaître. On m’a expliqué qu’il était important que certains appareils soient installés coûte que coûte chez tel ou tel client en Europe.

Mehdi Atmani : Avez-vous eu connaissance du double usage de ces appareils ?

Source : En fait, au tout début de ma carrière, pas du tout. Et puis, eh bien après j’ai compris pourquoi je devais faire cet effort commercial pour certains clients.

Mehdi Atmani : L’université de Genève s’équipe presque entièrement auprès de l’entreprise américaine. La raison est simple : le prix, qui défie toute concurrence.

Alain Hugentobler : On avait d’excellentes relations parce qu’on bénéficiait de listes de prix en dollars ce qui faisait qu’on achetait à un faible pourcentage du prix que les entreprises payaient pour le même matériel.

Mehdi Atmani : J’apprends alors avec surprise que la division informatique de l’université de Genève n’avait pas les moyens d’évaluer la fiabilité et la sécurité de ses achats informatiques. Elle doit donc faire une confiance aveugle à Sun, elle n’a pas le choix.

Alain Hugentobler : Je pense qu’il y a un contrôle qualité à la sortie de la chaîne de production. En revanche, l’installation du système d’exploitation et sa configuration est faite par les ingénieurs système de la division informatique. On n’a pas vraiment le choix parce que ça nécessite beaucoup de moyens de tout contrôler.

Gilles Gravier : Beaucoup de nos clients avaient accès directement à nos codes sources donc pouvaient vérifier que ce qu’on leur livrait faisait exactement ce qu’on leur disait que ça allait faire et, en particulier, les clients dans les gouvernements.

Mehdi Atmani : L’espionnage que dénonce la source est plausible, mais comment le prouver ? En remontant quelques années, une clef de notre énigme se loge dans nos archives, elle va changer la face de nos recherches. Au mois d’octobre 2016, un mystérieux groupe de pirates informatiques exploite une fuite interne à la NSA. Ils se font appeler les Shadow Brokers ou courtiers de l’ombre et nous viendraient de Russie selon les spécialistes en sécurité informatique. Les Shadow Brokers [3] détiennent entre leurs mains les secrets sur une partie de l’arsenal d’espionnage de la NSA et ils diffusent cette fuite explosive dans le domaine public. Bruce Schneier est effaré par cette découverte.

Shadow Brokers, traducteur : Les fuites des Shadow Brokers ont créé une véritable surprise chez tous les membres de la communauté active dans la sécurité. Pour la première fois, nous avons découvert les détails des outils d’espionnage de la NSA. Ce sont d’énormes secrets sur des outils puissants et coûteux qui ont été rendus publics. Nous avons tous été surpris et étonnés. Cela ne faisait aucun sens de tomber sur ces informations et pourtant, nous avons été en mesure de regarder ces outils et d’en tirer des enseignements.

Mehdi Atmani : Ces fuites des Shadow Brokers représentent une mine d’or pour Matthew Hickey. Le hacker britannique est le premier à se jeter sur ces informations. Il publie une longue analyse des fichiers.

Matthew Hickey, traducteur : Ces outils d’espionnage ont été conçus pour s’introduire de manière furtive dans les systèmes informatiques simplement en utilisant des vulnérabilités jusque-là inconnues. C’est un gros problème pour les entreprises et les particuliers, mais davantage pour les entreprises, car elles sont nombreuses à utiliser ces logiciels, par exemple l’industrie pharmaceutique, les entreprises de télécommunications, la finance et l’industrie. Avec ces fuites, n’importe qui peut désormais savoir comment accéder à ces systèmes.

Mehdi Atmani : Sur la liste des entreprises infiltrées par la NSA, nous trouvons le nom de Sun Microsystems. Impossible de détecter la présence de la NSA, car l’agence a tous les outils pour cacher sa présence et effacer ses traces. C’est comme si vous fermiez votre porte d’entrée à clef mais que les voleurs avaient un double : ils dérobent des informations, mais il n’y a aucun signe d’effraction.

Matthew Hickey, traducteur : L’ensemble des données qui ont fuité contenaient des failles. Nous avons pu retracer l’une de ces vulnérabilités, elle remonte à 1997 environ.

Mehdi Atmani : Nous tenons donc une première confirmation. Les portes dérobées dans les systèmes de Sun existent depuis 1997 et il aura fallu 20 ans pour les découvrir.
Dans ce monde d’il y a 20 ans, qui découvre Internet, les clients de Sun n’ont pas conscience des risques, ni les moyens de régater face à la puissance de la NSA.

Bruce Schneier, traducteur : En réalité, la NSA consacre des efforts intenses à ces outils. Ces derniers sont très efficaces et ils fonctionnent. Cela veut dire qu’ils sont très difficiles à détecter et très difficiles à combattre. Vous savez, les entreprises font de leur mieux pour sécuriser leurs systèmes. Cela dépend souvent du type d’attaque.

Mehdi Atmani : Pour avancer dans notre démonstration, nous avons voulu vérifier si nous aussi nous étions en mesure d’infiltrer les machines de Sun grâce aux informations des Shadow Brokers. Par chance, nous en avons retrouvé une dans la collection du musée d’informatique Bolo à Lausanne. C’est une vieille dame que nous avons confiée à Dominique Vidal. Ce spécialiste de haut vol en sécurité informatique est l’un des meilleurs hackers au monde. Nous lui avons confié la machine. Dans son laboratoire, Dominique a autopsié le matériel de Sun. L’opération a pris plusieurs jours. Voici son rapport.

Dominique Vidal : Il faut passer en revue chacun des identifiants et puis faire du trial and error donc cette commande ebbshave. Ici le paramètre –t0 ça concerne l’architecture que l’on a. L’identifiant du service, ici j’ai un 32174, je vais commencer peut-être par le 32771 qui est ici, d’accord. Je retiens également que j’ai un numéro 1 et je retiens que j’ai 1083 ici.

Mehdi Atmani : Reprenons. La fuite se présente comme une sorte de recette de cuisine sous forme de liens téléchargeables impossibles à déchiffrer pour vous et moi. Nous avons essayé de reproduire les techniques d’espionnage de la NSA. La porte d’entrée c’est un système d’exploitation appelé Solaris [4], conçu par Sun, l’équivalent du Windows de Microsoft ou du macOS d’Apple. Les outils découverts permettent de s’introduire à distance dans tous les systèmes Solaris partout dans le monde. Ainsi, depuis son siège près de Washington ou depuis sa mission diplomatique à Genève, la NSA peut s’introduire dans les systèmes Solaris, en prendre le contrôle et écouter.
Or, il se trouve que jusqu’en 2009, le système d’exploitation Solaris est extrêmement répandu dans les entreprises suisses ; il est vendu par Sun avec ses machines. Nous allons donc essayer de les infiltrer à notre tour. Nous décidons de passer à table et de tester les recettes de cuisine de la NSA.
Ce que vous voyez là ce sont des lignes de commande. Chacune d’elles représente une attaque fournie par la fuite des courtiers de l’ombre.

Dominique Vidal : Je vois qu’il me communique un certain nombre de choses. Il faut lire throwing solaris 9 exploit...

Mehdi Atmani : Dominique Vidal frappe une première fois, une seconde, puis une troisième, mais la machine ne plie pas.

Dominique Vidal : Là, je pense qu’on va voir une exécution réussie.

Mehdi Atmani : L’expert sort alors l’artillerie lourde et… bingo ! Sous nos yeux Dominique Vidal a pris le contrôle de la machine. Il a les pleins pouvoirs.

Dominique Vidal : En plus, c’est un exploit qui est un peu hors norme puisqu’il te donne un accès total à la machine à distance. C’est le holy grail dans le domaine du piratage, de la cybersécurité.

Matthew Hickey, traducteur : Certaines informations obtenues par ces fuites concernaient les marchés financiers du Moyen-Orient. Il y avait cette volonté de comprendre les mouvements de trésorerie et de transferts interbancaires dans des pays comme le Liban, l’Arabie saoudite, où ces systèmes ont été attaqués. Ceux qui ont utilisé ces outils d’espionnage l’ont fait dans l’optique de comprendre les marchés monétaires.

Mehdi Atmani : Aujourd’hui Sun n’existe plus. Le géant Oracle l’a racheté en 2009. Il reste à savoir si, dans cette affaire d’espionnage, Sun a été victime, à son insu, de la NSA ou si, comme le suggère notre source, l’entreprise s’est rendue complice pour ne pas perdre ses contrats avec le gouvernement américain.

Matthew Hickey, traducteur : Selon moi, Sun Microsystems est davantage une victime dans cette affaire, pour deux raisons : la technologie derrière ces attaques a touché plusieurs versions du système d’exploitation de Sun et elle est restée secrète pendant une longue période. Une entreprise n’a aucun intérêt à garder des portes dérobées dans ses produits.

Mehdi Atmani : Selon notre enquête, il est donc probable que la NSA a eu accès aux secrets d’une longue série de clients suisses de Sun. Il y aurait donc de quoi s’inquiéter, mais c’est mal connaître la Suisse qui connaît pourtant des scandales d’espionnage à répétition.
En octobre 2013, le conseiller fédéral Ueli Maurer, alors ministre de la Défense, réagit aux révélations d’Edward Snowden avec la plus grande mollesse.

Ueli Maurer, du traducteur : De l’espionnage, il y en a toujours eu en Suisse et il y en aura toujours. Il n’y a pas de raison, ni aujourd’hui ni demain, de réagir de façon aussi hystérique qu’aux autres.

Mehdi Atmani : Cette passivité fait bondir Jean-Henry Morin. Voilà huit ans que le professeur associé en systèmes d’information à l’université de Genève attend que la Suisse se réveille.

Jean-Henry Morin : J’attends ce sursaut depuis 2013. Pour moi 2013 c’était le moment où il fallait, où on devait avoir ce sursaut. Il ne s’est pas opéré, il ne s’est pas produit et, en fait, je l’attends. La question que je pose très souvent c’est qu’est-ce qu’il va falloir pour qu’un véritable sursaut arrive. À chaque fois je me dis « ah !, peut-être ça », et puis non !

Mehdi Atmani : À l’heure où explose la multiplication des données et où se pose la question de notre espace privé à l’ère numérique l’affaire Sun Microsystems devrait sonner comme un avertissement.

Jean-Henry Morin : Est-ce qu’on peut reprendre le contrôle de la situation ? Je suis un optimiste, donc je vais dire oui, parce qu’il n’y a pas de situation qui soit, je dirais, irrécupérable. Ça va être compliqué, ça va être dur, ça va coûter et c’est peut-être là où le bât blesse parce que l’enjeu qui est derrière une transition numérique va coûter quand même beaucoup d’argent. Mais je crois que cette absence de responsabilité numérique publique, c’est-à-dire de nos pouvoirs publics aujourd’hui dans l’encadrement, dans le fait d’accompagner un État qui se dit numéro 1 au monde en à peu près tout, qui est riche, très riche, qui a les moyens d’assumer des grands défis et des grands projets aujourd’hui, fait qu’il soit totalement incapable de gérer cette gouvernance du numérique pour son pays, son peuple et ses habitants.

Mehdi Atmani : Notre enquête sur l’univers opaque de l’espionnage des entreprises et des administrations a révélé les failles de la Suisse et si les activités de Sun ont cessé, les risques d’espionnage se sont par contre accélérés et, cette fois, ils nous concernent tous.

Bruce Schneier, traducteur : Je pense que la plupart des gens ne se rendent pas compte qu’ils ont le choix, mais notre besoin de communiquer est si fort que nous ferions n’importe quoi. Je veux dire que cet appareil [le téléphone portable, NdT] est l’outil de surveillance le plus puissant que nous ayons inventé. Il sait en permanence où je me trouve, où je vis, où je travaille ; il sait quand je me lève le matin, quand je vais dormir ; il connaît les personnes avec qui je communique et ce que je leur dis. Nous acceptons d’avoir volontairement toutes ces informations dans notre poche parce qu’elles sont trop importantes.

Mehdi Atmani : La surveillance est le modèle économique d’Internet. Il est tellement rentable que personne ne le remet en question, surtout pas la NSA. L’agence use d’outils d’espionnage toujours plus puissants pour surveiller le monde entier. Sun en a fait les frais. À qui le tour ?