Ces dernières semaines, du ministère de la Défense jusqu’à Matignon, personne n’a été en mesure de nous détailler le cadre juridique ayant permis à la société française Amesys de vendre des matériels d’espionnage électronique et de surveillance d’Internet au régime du colonel Kadhafi. En particulier le redoutable système de surveillance Eagle. Des esprits soupçonneux en déduiraient que ces livraisons débordaient largement les cadres juridiques existants. Trois mois après la révélation, par OWNI, de cette transaction, et près d’un mois après que Mediapart et le Wall Street Journal l’ont confirmée, documents à l’appui, on n’en sait pas davantage sur les raisons pour lesquelles Amesys se sentait habilitée à livrer ces matériels, servant à repérer des opposants pour mieux les torturer ensuite.

Dans le seul communiqué publié par Amesys, le 1er septembre, la direction de la communication du groupe Bull, dont Amesys a pris le contrôle l’an passé, affirmait :

Toutes les activités d’Amesys respectent strictement les exigences légales et réglementaires des conventions internationales, européennes et françaises.

Une direction de la communication confiée à la fille de l’actuel ministre de la Défense Gérard Longuet. Le même jour, Christian Paul, député PS de la Nièvre, demandait au gouvernement d’éclaircir le rôle exact “de l’État français dans la vente et l’emploi d’armes technologiques destinées à la surveillance de l’Internet en Libye” :

Si ces technologies avaient été commercialisées sans l’aval officiel de l’État, quelles mesures le gouvernement entend-il prendre pour qu’à l’avenir, elles soient soumises à cette procédure, et ainsi, ne puissent être vendues à des régimes autoritaires ?

Près d’un mois plus tard, le gouvernement n’a toujours pas répondu. Réagissant à une question d’un journaliste du Monde, le porte parole du Quai d’Orsay, le 7 septembre, n’en a pas moins déclaré que “le logiciel Eagle ne [faisait] pas l’objet d’un contrôle à l’exportation, l’État n’a pas de visibilité sur son exportation; nous démentons donc toute implication dans des opérations d’écoute de la population libyenne.”

Le 12, l’association Sherpa annonçait le dépôt d’une plainte contre X, au motif qu’”à ce jour, aucune autorisation du gouvernement n’aurait été délivrée afin de permettre à la société AMESYS de vendre le système de surveillance susmentionné“.

Amesys profite d’un vide juridique

Contactée par OWNI, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dont le directeur général préside la commission consultative “relative à la commercialisation et à l’acquisition ou détention des matériels permettant de porter atteinte à l’intimité de la vie privée ou au secret des correspondances“, précise qu’elle n’est compétente qu’en matière de fabrication, d’importation, d’exposition, d’offre, de location ou de vente en France, mais pas d’exportation…

Dans son rapport 2010, qui vient tout juste de sortir, la Commission nationale de contrôle des interceptions de sécurité (CNCIS), qui siège dans cette commission, précise de son côté que l’investissement d’entreprises étrangères dans des entreprises de fabrication ou de vente de “matériels conçus pour l’interception des correspondances et la détection à distance des conversations” doit certes faire l’objet d’une autorisation préalable délivrée par la commission. Mais l’exportation de ces mêmes matériels, y compris à des régimes dictatoriaux qui s’en serviraient pour identifier les opposants, ne relève, lui, d’aucun régime d’autorisation préalable.

Joint par OWNI, le Secrétariat général de la défense et de la sécurité nationale (SGDSN), chargé du contrôle des exportations des matériels de guerre, avance pour sa part que le système Eagle n’avait pas besoin d’obtenir l’agrément préalable de la Commission interministérielle pour l’étude des exportations de matériels de guerre (CIEEMG) chargée, pour le compte du Premier ministre, d’émettre un avis sur l’autorisation, ou non, de ce genre de transactions.

Amesys avait-elle le droit de protéger Kadhafi ?

Le système Shadow de brouillage des télécommunications, qui équipe le 4X4 sécurisé vendu par Amesys, comme l’a expliqué Mediapart, relève bien du matériel de contre-surveillance et de guerre électronique qui ne peut être exporté que s’il est approuvé par la CIEEMG, tout comme Cryptowall, le logiciel de chiffrement des communications qui faisait partie de l’accord qui relève, lui, du “matériel de sécurité (…) utilisant des procédés de chiffrement” visé par la liste. Malgré plusieurs relances, le SGDSN n’a pas été en mesure de nous dire si la CIEEMG avait autorisé, ou non, Amesys à vendre ces produits à la Libye.

Quant au système Eagle d’espionnage de l’Internet, sa livraison au régime du colonel Kadhafi violerait d’autant moins “les exigences légales et réglementaires françaises” qu’il n’en existerait pas vraiment en la matière. Une approche contestable.

La guerre électronique, cœur du métier d’Amesys

L’armement est pourtant le principal secteur d’activités d’Amesys, comme en témoigne sa fiche de présentation sur ixarm.com, le portail des professionnels du secteur.

Le document (.pdf) visé par l’Autorité des marchés financiers (AMF) qui détaillait l’”apport en nature” qui a permis à Crescendo Industries, la holding contrôlant Amesys, de prendre le contrôle de 20% du capital de Bull — et donc de placer Philippe Vannier, le créateur d’Amesys, à la tête de Bull —, précise de son côté que l’objet social de l’entreprise est l’”l’étude, la fabrication, le négoce, la maintenance de tous matériels électriques, électroniques de guerre, de combat et de défense” et que son “portefeuille d’activités” recouvre essentiellement des produits destinés à la Défense et Sécurité :

contrôle des communications, systèmes d’information gouvernementaux, équipements de guerre électronique, traitement du signal pour la guerre électronique, cryptographie…

Initialement spécialisée dans la guerre électronique, la société s’est diversifiée dans les technologies à usage dual, comme l’expliquait (.pdf) en 2009 Philippe Vannier, son PDG:

Les applications civiles appuyées sur notre expérience des systèmes militaires nous ont (…) permis de réaliser, de 2004 à 2008, une croissance organique annuelle moyenne de 27 %. Les chiffres le montrent. En 2004, la défense pure représentait 18 millions d’euros, soit 60 % de notre chiffre d’affaires, tandis que la part de la sécurité était faible. En 2008, 80 % de nos 100 millions d’euros de chiffre d’affaires se répartissent à parts égales entre les deux domaines : 40 millions pour la défense et 40 millions pour la sécurité.

Philippe Vannier qualifiait par ailleurs de “très lourds” les procédures et circuits à suivre pour obtenir l’autorisation d’exportation de matériel sensible :

En outre, au sein de l’Europe, les règles et les critères d’exportation ne sont pas homogènes. En France, avant de faire une offre, il faut obtenir des autorisations d’une commission interministérielle, ce qui dure souvent deux à trois mois. Les concurrents étrangers nous prennent de vitesse en faisant d’abord l’offre, puis en demandant l’autorisation. Nous pouvons aussi nous voir refuser une exportation sur un type de matériel autorisé en Allemagne ou en Angleterre. C’est choquant.

Le même n’en avait pas moins réussi à vendre en 2007 à la Libye son “Homeland Security Program“, pour 26,5 millions d’euros… A la décharge d’Amesys, ce contrat avait, selon les documents rendus publics par Mediapart, été conclu à la demande de Nicolas Sarkozy, avec l’appui de Claude Guéant et Brice Hortefeux, et grâce aux bons soins du sulfureux intermédiaire et marchand d’armes Ziad Takieddine, dont le nom est mêlé à des scandales politico-financiers et qui, pour le coup, a touché d’I2E (devenu, depuis, Amesys) la bagatelle de 4,5 M€.

BEN Marine, filiale d’Amesys spécialisée dans les instruments de navigation maritime civils et militaires et présentée comme “la clé du succès de la société Amesys International“, se vante ainsi d’avoir une activité commerciale soutenue en Arabie Saoudite ou au Pakistan. Des territoires qui passionnent les enquêteurs financiers en charge de reconstituer les circuits occultes empruntés par d’autres industriels français de l’armement.

Le contrat concernait la mise à disposition d’un matériel d’analyse portant sur une fraction des connexions Internet existantes, soit quelques milliers.

Or, les documents que s’est procuré OWNI démontrent exactement le contraire : contrairement aux systèmes d’écoutes ciblées traditionnels, le système “massif” (sic) de surveillance d’Amesys a effectivement pour vocation d’intercepter et d’analyser l’intégralité des télécommunications, à l’échelle d’un pays tout entier.

Dans sa plaquette de présentation de sa gamme de solution pour les services de renseignement, Amesys avance ainsi qu”EAGLE a été conçu pour surveiller l’ensemble du spectre des télécommunications : trafic IP (internet), réseaux téléphoniques fixes et mobiles, WiFi, satellite, radio V/UHF, micro-ondes… grâce à des “sondes passives, invisibles et inaccessibles à quelqu’intrus que ce soit“.

Le système massif (EAGLE GLINT, pour GLobal INTelligence, celui qui a été vendu à la Libye -NDLR), a été conçu pour répondre aux besoins d’interception et de surveillance à l’échelle d’une nation (et) capable d’agréger tout type d’informations (et) d’analyser, en temps réel, un flux de données à l’échelle nationale, de quelques terabytes à plusieurs dizaines de petabytes.

EAGLE serait ainsi susceptible de pouvoir agréger, de façon automatisée, les adresses emails, physiques, n° de téléphone, images des suspects, mais également d’effectuer des recherches automatisées par dates, heures, n° de téléphones, adresses email, mots-clefs, géolocalisations…

EAGLE permettrait ainsi de “regrouper toutes les données interceptées dans un seul et même datacenter, ce qui permet d’obtenir une vision claire des différentes activités de vos cibles“, de les géolocaliser, de reconstituer, de manière graphique, leurs réseaux sociaux, d’effectuer des analyses sémantiques, des retranscriptions, des traductions et de la reconnaissance automatique de conversations téléphoniques…

En l’espèce, Amesys se targue de pouvoir traiter tout autant l’arabe que le croate en passant par le farsi, le français, le québécois, le japonais, le tamoul, l’anglais (britannique, des États du Sud ou bien du Nord des USA), l’espagnol (caribéen ou non caribéen) ou encore le chinois mandarin.

Amésys vous aide à fouiller dans ce tsunami numérique au travers d’une interface graphique accueillante. L’intégralité de la complexité technique vous est épargnée. Les utilisateurs finaux d’EAGLE sont des enquêteurs, par des ingénieurs réseaux.

Le mode d’emploi du système EAGLE GLINT, qu’OWNI a également réussi à se procurer, précise de son côté que “le système récupèrera toutes les données, et fichiers attachés, associés aux protocoles suivants :

Mail (SMTP, POP3, IMAP), Webmails (Yahoo! Mail Classic & Yahoo! Mail v2, Hotmail v1 & v2, Gmail), VoIP (SIP / RTP audio conversation, MGCP audio conversation, H.323 audio conversation), Chat (MSN Chat, Yahoo! Chat, AOL Chat, Paltalk -qui permet aux utilisateurs de Windows de chatter en mode texte, voix ou vidéo, NDLR), Http, Moteurs de recherche (Google, MSN Search, Yahoo), Transferts (FTP, Telnet).

Un moteur de recherche en mode texte permet de “minimiser le temps requis pour trouver de l’information de valeur, et le nombre d’interceptions qui peuvent être consultées.“. Il est aussi possible d’effectuer des recherches en entrant une partie de n° de téléphone, d’adresse email ou de nom de fournisseur d’accès.

Enfin, une interface graphique permet de visualiser les connexions des “suspects“, qui sont identifiés par leurs noms, prénoms, pseudos, langue maternelle et adresses email.

MaJ : dans Siné, le mensuel, Karl Laske, par ailleurs journaliste à Mediapart, publie un extrait du contrat, signé en mai 2006 par Amesys, qui avait été introduit en Libye par “le marchand d’armes Ziad Takieddine, appuyé par Claude Guéant et Brice Hortefeux“, et qui porte bien sur un “suivi de toutes les communications (…) e-mail, chat, sites web et appels vocaux” :

L’actuel PDG de Bull, Philippe Vannier – alors patron de la filiale i2e, devenue Amesys- avait proposé aux Libyens dès 2006 un système d’interception des “flux” sur Internet. Il a finalement livré au régime la parfaite panoplie de l’État espion pour 26,2 millions d’euros.

Outre une surveillance massive d’Internet (Network Stream Analyser) facturée 12,5 millions d’euros, un dispositif d’écoutes des téléphones portables (Legal GSM Interception), Amesys a fourni un système de cryptage des communications (Cryptowall) pour mieux protéger les dignitaires du régime.

De son côté, Le Canard Enchaîné confirme que “les services secrets français ont bien aidé Kadhafi à espionner les Libyens : à la demande de Sarko -et de juillet 2008 à février 2011-, des officiers de la Direction du renseignement militaire et des services techniques de la DGSE ont ainsi supervisé la mise au point des équipements d’espionnage électronique vendus au colonel libyen par plusieurs industriels français et autres“ :

“C’était l’époque où on se crachait dans la bouche, avec Kadhafi“, ironise un général de la Direction du renseignement militaire. (…)

“Kadhafi voulait contrôler sa population, détecter ceux qui lui résistaient et leurs complices. Il a présenté son dossier (aux industriels concernés) en affirmant qu’il voulait protéger son pays de l’espionnage américain“. Et le même officier d’ajouter que “la Libye était un laboratoire intéressant” pour la vente de ces équipements à d’autres clients, voire à des dictateurs intéressés.

Quatre entreprises, écrit Le Canard ont exporté le matériel utilisé par les grandes oreilles libyennes : outre Amesys, la société US Narus, filiale de Boeing pour la surveillance d’Internet, la chinoise ZTE Corp, experte en surveillance des transmissions, et la sud-africaine VASTech pour ses “branchements clandestins” :

Cela ne pouvant suffire, des émissaires de Kadhafi ont rencontré, en février 2011, des représentants d’Amesys et de Narus, dans l’espoir d’obtenir plus de matériel de surveillance en temps réel.

Le Canard précise enfin que “les équipements vendus à Kadhafi permettaient de capter et d’archiver, chaque mois, le contenu de 30 à 40 millions de minutes de communications téléphoniques“, et que “100 000 internautes (les 6,5 millions de Libyens sont peu équipés en informatique) étaient sous surveillance permanente“.

Un chiffre qu’il conviendrait de quadrupler : d’après le CIA World FactBook, la Libye comptait 359 000 internautes en 2009.

Pour nous contacter, de façon anonyme et sécurisée, en toute confidentialité, n’hésitez pas à utiliser le formulaire de privacybox.de : @owni, et/ou @manhack et/ou @oliviertesquet. Si votre message nécessite une réponse, veillez à nous laisser une adresse email valide (mais anonyme).

Voir aussi « Gorge profonde: le mode d’emploi » et « Petit manuel de contre-espionnage informatique ».