Ces dernières semaines, du ministère de la Défense jusqu’à Matignon, personne n’a été en mesure de nous détailler le cadre juridique ayant permis à la société française Amesys de vendre des matériels d’espionnage électronique et de surveillance d’Internet au régime du colonel Kadhafi. En particulier le redoutable système de surveillance Eagle. Des esprits soupçonneux en déduiraient que ces livraisons débordaient largement les cadres juridiques existants. Trois mois après la révélation, par OWNI, de cette transaction, et près d’un mois après que Mediapart et le Wall Street Journal l’ont confirmée, documents à l’appui, on n’en sait pas davantage sur les raisons pour lesquelles Amesys se sentait habilitée à livrer ces matériels, servant à repérer des opposants pour mieux les torturer ensuite.

Dans le seul communiqué publié par Amesys, le 1er septembre, la direction de la communication du groupe Bull, dont Amesys a pris le contrôle l’an passé, affirmait :

Toutes les activités d’Amesys respectent strictement les exigences légales et réglementaires des conventions internationales, européennes et françaises.

Une direction de la communication confiée à la fille de l’actuel ministre de la Défense Gérard Longuet. Le même jour, Christian Paul, député PS de la Nièvre, demandait au gouvernement d’éclaircir le rôle exact “de l’État français dans la vente et l’emploi d’armes technologiques destinées à la surveillance de l’Internet en Libye” :

Si ces technologies avaient été commercialisées sans l’aval officiel de l’État, quelles mesures le gouvernement entend-il prendre pour qu’à l’avenir, elles soient soumises à cette procédure, et ainsi, ne puissent être vendues à des régimes autoritaires ?

Près d’un mois plus tard, le gouvernement n’a toujours pas répondu. Réagissant à une question d’un journaliste du Monde, le porte parole du Quai d’Orsay, le 7 septembre, n’en a pas moins déclaré que “le logiciel Eagle ne [faisait] pas l’objet d’un contrôle à l’exportation, l’État n’a pas de visibilité sur son exportation; nous démentons donc toute implication dans des opérations d’écoute de la population libyenne.”

Le 12, l’association Sherpa annonçait le dépôt d’une plainte contre X, au motif qu’”à ce jour, aucune autorisation du gouvernement n’aurait été délivrée afin de permettre à la société AMESYS de vendre le système de surveillance susmentionné“.

Amesys profite d’un vide juridique

Contactée par OWNI, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dont le directeur général préside la commission consultative “relative à la commercialisation et à l’acquisition ou détention des matériels permettant de porter atteinte à l’intimité de la vie privée ou au secret des correspondances“, précise qu’elle n’est compétente qu’en matière de fabrication, d’importation, d’exposition, d’offre, de location ou de vente en France, mais pas d’exportation…

Dans son rapport 2010, qui vient tout juste de sortir, la Commission nationale de contrôle des interceptions de sécurité (CNCIS), qui siège dans cette commission, précise de son côté que l’investissement d’entreprises étrangères dans des entreprises de fabrication ou de vente de “matériels conçus pour l’interception des correspondances et la détection à distance des conversations” doit certes faire l’objet d’une autorisation préalable délivrée par la commission. Mais l’exportation de ces mêmes matériels, y compris à des régimes dictatoriaux qui s’en serviraient pour identifier les opposants, ne relève, lui, d’aucun régime d’autorisation préalable.

Joint par OWNI, le Secrétariat général de la défense et de la sécurité nationale (SGDSN), chargé du contrôle des exportations des matériels de guerre, avance pour sa part que le système Eagle n’avait pas besoin d’obtenir l’agrément préalable de la Commission interministérielle pour l’étude des exportations de matériels de guerre (CIEEMG) chargée, pour le compte du Premier ministre, d’émettre un avis sur l’autorisation, ou non, de ce genre de transactions.

Amesys avait-elle le droit de protéger Kadhafi ?

Le système Shadow de brouillage des télécommunications, qui équipe le 4X4 sécurisé vendu par Amesys, comme l’a expliqué Mediapart, relève bien du matériel de contre-surveillance et de guerre électronique qui ne peut être exporté que s’il est approuvé par la CIEEMG, tout comme Cryptowall, le logiciel de chiffrement des communications qui faisait partie de l’accord qui relève, lui, du “matériel de sécurité (…) utilisant des procédés de chiffrement” visé par la liste. Malgré plusieurs relances, le SGDSN n’a pas été en mesure de nous dire si la CIEEMG avait autorisé, ou non, Amesys à vendre ces produits à la Libye.

Quant au système Eagle d’espionnage de l’Internet, sa livraison au régime du colonel Kadhafi violerait d’autant moins “les exigences légales et réglementaires françaises” qu’il n’en existerait pas vraiment en la matière. Une approche contestable.

La guerre électronique, cœur du métier d’Amesys

L’armement est pourtant le principal secteur d’activités d’Amesys, comme en témoigne sa fiche de présentation sur ixarm.com, le portail des professionnels du secteur.

Le document (.pdf) visé par l’Autorité des marchés financiers (AMF) qui détaillait l’”apport en nature” qui a permis à Crescendo Industries, la holding contrôlant Amesys, de prendre le contrôle de 20% du capital de Bull — et donc de placer Philippe Vannier, le créateur d’Amesys, à la tête de Bull —, précise de son côté que l’objet social de l’entreprise est l’”l’étude, la fabrication, le négoce, la maintenance de tous matériels électriques, électroniques de guerre, de combat et de défense” et que son “portefeuille d’activités” recouvre essentiellement des produits destinés à la Défense et Sécurité :

contrôle des communications, systèmes d’information gouvernementaux, équipements de guerre électronique, traitement du signal pour la guerre électronique, cryptographie…

Initialement spécialisée dans la guerre électronique, la société s’est diversifiée dans les technologies à usage dual, comme l’expliquait (.pdf) en 2009 Philippe Vannier, son PDG:

Les applications civiles appuyées sur notre expérience des systèmes militaires nous ont (…) permis de réaliser, de 2004 à 2008, une croissance organique annuelle moyenne de 27 %. Les chiffres le montrent. En 2004, la défense pure représentait 18 millions d’euros, soit 60 % de notre chiffre d’affaires, tandis que la part de la sécurité était faible. En 2008, 80 % de nos 100 millions d’euros de chiffre d’affaires se répartissent à parts égales entre les deux domaines : 40 millions pour la défense et 40 millions pour la sécurité.

Philippe Vannier qualifiait par ailleurs de “très lourds” les procédures et circuits à suivre pour obtenir l’autorisation d’exportation de matériel sensible :

En outre, au sein de l’Europe, les règles et les critères d’exportation ne sont pas homogènes. En France, avant de faire une offre, il faut obtenir des autorisations d’une commission interministérielle, ce qui dure souvent deux à trois mois. Les concurrents étrangers nous prennent de vitesse en faisant d’abord l’offre, puis en demandant l’autorisation. Nous pouvons aussi nous voir refuser une exportation sur un type de matériel autorisé en Allemagne ou en Angleterre. C’est choquant.

Le même n’en avait pas moins réussi à vendre en 2007 à la Libye son “Homeland Security Program“, pour 26,5 millions d’euros… A la décharge d’Amesys, ce contrat avait, selon les documents rendus publics par Mediapart, été conclu à la demande de Nicolas Sarkozy, avec l’appui de Claude Guéant et Brice Hortefeux, et grâce aux bons soins du sulfureux intermédiaire et marchand d’armes Ziad Takieddine, dont le nom est mêlé à des scandales politico-financiers et qui, pour le coup, a touché d’I2E (devenu, depuis, Amesys) la bagatelle de 4,5 M€.

BEN Marine, filiale d’Amesys spécialisée dans les instruments de navigation maritime civils et militaires et présentée comme “la clé du succès de la société Amesys International“, se vante ainsi d’avoir une activité commerciale soutenue en Arabie Saoudite ou au Pakistan. Des territoires qui passionnent les enquêteurs financiers en charge de reconstituer les circuits occultes empruntés par d’autres industriels français de l’armement.

La personnalité et les CV des responsables de Bull qui, normalement, seraient habilités à s’exprimer à ce sujet, ne sont peut-être pas étrangers à ce silence. Tiphaine Hecketsweiler, embauchée en tant que directrice de la communication du groupe Bull en janvier 2011, est en effet la fille de Gérard Longuet, lui-même nommé ministre de la défense en février 2011… Elle était précédemment consultante associée à Image7, la célèbre société de conseil en communication d’Anne Méaux, elle-même proche de Gérard Longuet, qu’elle avait rencontré au début des années 70 au sein du Groupe union défense (GUD, organisation d’extrême-droite particulièrement active dans les années 70), puis au Parti Républicain (qui permit à nombre d’anciens militants d’extrême-droite d’entrer dans l’arène politique “classique“).

De son côté, Philippe Vannier, le PDG de Bull, était précédemment président du directoire de Crescendo Technologies, la holding qui avait repris I2E, devenu Amesys. Au moment de son rachat, pour environ 105 millions d’euros, son chiffre d’affaires, en progression de 25% en 5 ans, n’était que de 100 millions d’euros, soit 11 fois moins que celui de Bull. Mais l’acquisition d’Amesys s’était traduite par une augmentation de capital de Crescendo Industries, conférant à cette dernière 20% des parts de Bull. Devenu actionnaire majoritaire, loin devant France Telecom (8%), Crescendo avait dès lors pu placer Philippe Vannier à la tête de Bull.

En annonçant le rachat d’Amesys, Bull déclarait avoir “pour ambition de construire le leader européen dans le domaine des systèmes de traitement de l’information et des communications critiques et hautement sécurisées“, tout en vantant le fait qu’Amesys était positionnée sur des niches technologiques à forte valeur ajoutée allant de l’”intelligence stratégique par l’interception et l’analyse du signal” à la guerre électronique en passant par des “solutions pour la sécurité intérieure et le contre-terrorisme (ex : surveillance du trafic IP, géolocalisation)” ou encore la vidéosurveillance dans les métros, ainsi que l’“Infotainment” via la diffusion de vidéos en ligne dans les trains (les deux utilisent les mêmes câbles et technologies, NDLR).

Non content d’impliquer, politiquement, l’Elysée et le ministère de la défense, il en va aussi de la stratégie de souveraineté de la France : le 4 août dernier, le Fonds stratégique d’investissement (FSI), créé en 2008 pour aider les entreprises jugées stratégiques, annonçait en effet son entrée au capital de Bull, à hauteur de plus de 5%. Un sens du timing qui fait rêver.

Bull, au coeur du complexe militaro-industriel français

Fin mai, le site reflets.info s’interrogeait sur l’utilisation, et les clients, du système Eagle/Glint d’Amesys, un produit d’écoute « nationwide » qui, couplé à un système d’archivage en petaoctets permet d’intercepter et de stocker des volumes incroyables de données, IP, GSM satellitaires…:

Quel type de pays peut bien s’intéresser à cette problématique singulière qu’est « comment écouter tout le monde »? Se pourrait-il que ce genre de produits puisse faire le bonheur de certaines dictatures ? Et si c’était le cas … Est-il possible que les autorités françaises ne soient pas au courant de la vente de tels équipements ? Il est évident que non.

En juin dernier, OWNI révélait que, de fait, Amesys avait bien vendu aux autorités libyennes son “système d’interception électronique permettant à un gouvernement de contrôler toutes les communications qu’elles entrent ou sortent du pays“, une information confirmée, mardi dernier, par le Wall Street Journal et par cette vidéo de la BBC, qui ont pu visiter l’un des centres d’interception des télécommunications libyens.

Ce jeudi, Le Figaro révèle de son côté que des fonctionnaires de la Direction du Renseignement Militaire (DRM) ont travaillé, dès juillet 2008, aux côtés des ingénieurs d’Amesys, pour former policiers, militaires et services de renseignement libyens au déploiement de ce système Eagle de mise sur écoute de l’ensemble du pays :

La Libye fournissait alors un laboratoire intéressant puisqu’elle allait permettre à Bull de tester son système sans limite, sur un pays de plusieurs millions d’habitants. « Nous avons mis tout le pays sur écoute, explique notre interlocuteur. On faisait du massif: on interceptait toutes les données passant sur Internet: mails, chats, navigations Internet et conversation sur IP. »

Le Figaro précise par ailleurs que l’interlocuteur des militaires français et des cadres de Bull, celui qui “négociait les fonctionnalités du produit et qui nous donnait des directives“, n’était autre qu’Abdallah Senoussi, beau frère de Kadhafi et chef des services secrets libyens, également connu pour avoir été condamné par contumace pour son implication dans l’attentat du vol 772 d’UTA dans lequel périrent en 170 personnes en 1989.

Le journaliste du Figaro conclue étrangement son article en précisant qu’”une version du logiciel Eagle, conforme à la loi, est utilisée en France depuis 2009“. On sait que les services de renseignement français disposent de capacités d’interception des télécommunications, notamment au travers du système surnommé Frenchelon, mis en oeuvre par la DRM et la DGSE. Reste à savoir ce que signifie l’expression “conforme à la loi“, dès lors que les services de renseignement ont précisément pour vocation de pouvoir faire ce que la loi n’autorise pas…

Etrangement, i2e, devenu Amesys en 2006, avait précédemment vendu à la Libye, en avril 2006, un système de chiffrement des télécommunications, Cryptowall, afin d’échapper… aux “grandes oreilles” d’Echelon, le système américain d’interception des télécommunications. L’information avait été révélée, fin août, par Médiapart, qui précisait que la vente avait été cautionnée par la place Beauvau (du temps où Nicolas Sarkozy et Claude Guéant étaient au ministère de l’Intérieur) et la présidence de la République, et obtenue grâce à l’intermédiaire libanais Ziad Takkiedine qui, pour cela, aurait touché, en violation de la loi, près de 4,5 millions d’euros de commissions.

D’après nos informations, le code source du logiciel était en fait modifié, par un fonctionnaire du ministère de la Défense, de sorte que son algorithme de chiffrement soit amoindri. Objectif : permettre aux services français de déchiffrer les messages soit-disant résistants aux grandes oreilles américaines… Reste à savoir en quelle mesure le déploiement du système Eagle/Glint d’interception de l’ensemble des télécommunications libyennes n’a pas, lui aussi, facilité le placement sur écoute des Libyens par la France et, partant, les opérations militaires de l’OTAN visant à libérer la Libye.

Reste enfin à savoir, comme l’a plusieurs fois souligné Reflets.info, suivi en cela par Christian Paul, dans une question parlementaire posée ce jeudi, sur quelles bases juridiques les autorités françaises ont ainsi autorisé l’exportation de ces outils. Pour le député socialiste, elle devrait « à l’évidence être soumise au contrôle et à l’autorisation des autorités françaises, car ils sont assimilables à des armes technologiques ».

Toutes les activités d’Amesys respectent strictement les exigences légales et réglementaires des conventions internationales, européennes et françaises. Amesys n’opère aucun centre d’écoute téléphonique ni internet à aucun point du globe.

OWNI n’a jamais écrit qu’Amesys surveillait les appels téléphoniques fixes, mobiles pas plus que les connexions satellites, ni qu’elle opérait elle-même un centre d’écoute. Contacté par OWNI, le Secrétariat général de la défense et de la sécurité nationale (SGDSN) confirmait la nécessité d’une autorisation de la Commission interministérielle pour l’étude des exportations de matériel de guerre (CIEEMG) pour les produits de guerre électronique, tout en affirmant ne rien savoir de cette affaire…

Pendant des années, les logiciels de chiffrement ont été considérés, en France, comme des armes de guerre” et, à ce titre, interdit à l’exportation. Reste donc à savoir quel régime juridique régit l’exportation des outils de surveillance, d’analyse et d’interception des télécommunications.

MaJ du 02/09 : le communiqué d’Amesys a disparu… vous pouvez en retrouver une copie sur cette page.

La Libye sur écoute française

La preuve du double jeu de la France en Libye

Pour nous contacter, de façon anonyme et sécurisée, en toute confidentialité, n’hésitez pas à utiliser le formulaire de privacybox.de : @owni, et/ou @manhack et/ou @oliviertesquet. Si votre message nécessite une réponse, veillez à nous laisser une adresse email valide (mais anonyme).

Voir aussi « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».

Crédits photo: Flickr CC binnyva.