C’est une évidence : moins il y aura de pays détenant la bombe nucléaire, mieux le monde se portera. Si l’accord entre l’Iran et le reste du monde sur son développement nucléaire peut enrayer son accès à la bombe, tant mieux. Ceci dit, il est intéressant de voir comment les Etats-Unis se conforment aux enquêtes de l’Agence internationale de l’énergie atomique (AIAIE). Un vieux document (août 2005) de l’armée américaine tombé entre les mains de Reflets, va nous y aider.

L’accord sur le nucléaire iranien a été salué par Barack Obama et la presse s’en est fait l’écho :

Barack Obama s’est félicité de cette entente « historique » avec l’Iran qui, si elle aboutit à un accord final d’ici le 30 juin, « l’empêchera d’obtenir l’arme nucléaire ». « L’Iran a donné son accord pour un régime de transparence et les inspections les plus approfondies jamais négociées dans l’histoire des programmes nucléaires », a poursuivi le président américain. Répondant par avance à ses détracteurs, Barack Obama a assuré que l’Iran serait « plus inspecté que n’importe quel autre pays dans le monde« . « Si l’Iran triche, le monde le saura », a-t-il lancé.

Quand il parle de régime de transparence avec les inspections les plus approfondies jamais négociées, il sait visiblement de quoi il parle. Son pays a signé un accord du même type en 1977, entré en vigueur en 1980.

National Security Exclusion

Mais les Etats-Unis ont une vision personnelle de la transparence à appliquer lorsque l’AIEA vient inspecter le pays. Un projet d’instruction du ministère de la Défense détaille un aspect de l’accord passé avec l’AIEA permettant d’éviter que les visites de l’agence portent sur certain nombre de lieux. En clair, pas question pour les inspecteurs de s’approcher, même de loin, de :

« Applying the NSE under the U.S.-IAEA Additional Protocol (AP): The Department of Defense shall apply the NSE to exclude IAEA access under reference (c) to all DoD-owned or -leased spaces, structures, facilities, installations, or land as well as all DoD-funded programs, activities, or information associated with military, national security, or homeland defense, including: operations and training; intelligence; materiel production, maintenance, and supply; research, development, test and evaluation; and infrastructure and personnel. The Department of Defense shall also apply the NSE to exclude any other government- or contractor-owned or operated activity, location, or information from U.S. declaration requirements and IAEA complementary access where their proximity to, or association with, a DoD equity could result in IAEA access to that defense equity.« 

Le NSE correspond au « National Security Exclusion », un droit unilatéral des Etats-Unis à exclure un accès de l’AIEA aux activités ayant un importance pour la sécurité nationale, à des lieux ou des informations associés à ces activités. Grosso-modo, n’importe quoi, au bon vouloir des autorités américaines.

Comme l’évoque d’ailleurs l’accord, les Etats-Unis peuvent très bien transporter du matériel nucléaire sur un site exclu du champ des visites :

« However, other provisions required adaptation in light of fundamental differences between the terms of the U.S. offer and the obligations of non-nuclear weapon states party to the NPT. These differences reflect several facts: 1) The U.S. offer excludes activities of direct national security significance and does not contain any limitations on use of nuclear material by the United States. (Therefore, the agreement provides that at any time the United States can remove a facility from the list of those eligible for safeguards should the facility become associated with activities of direct national security significance, and the United States can transfer nuclear material from eligible facilities to any location including non-eligible facilities.) 2) The United States has sole authority to decide which U.S. facilities are eligible for safeguards, and the IAEA has sole authority to decide which eligible facilities will be selected for safeguards (although the IAEA is obliged to take into account the requirement that the U.S. Government avoid discriminatory treatment between U.S. commercial firms similarly situated). 3) The United States had made separate commitments to provide to the IAEA, for safeguards purposes, information on imports and exports of nuclear material.« 

La transparence, c’est super, mais il ne faudrait pas abuser.

L’autre blague contenue dans l’accord passé avec l’Iran se trouve en page 142 du document. Sans être aussi explicite que cela, le texte contenu dans cette page évoque une coopération des pays occidentaux, Etats-Unis en tête bien entendu, avec l’Iran pour sécuriser ses lieux liés au nucléaire. En d’autres termes, après avoir très probablement saboté des centrifugeuses avec Stuxnet, les Etats-Unis vont former les Iraniens à la protection des mêmes centrifugeuses. Un détail qui n’a pas échappé aux opposants viscéraux à tout accord avec l’Iran aux Etats-Unis. Pourtant, la blague est drôle et pour un peu on pourrait la qualifier de blague de Geek. C’est dire…

Dans la masse de données fuitées suite au piratage de la société italienne Hacking Team, un petit document, d’apparence assez anodin, devrait nous fournir une base de réflexion sur l’immense hypocrisie qui entoure l’exportation d’armes électroniques, considérées en droit international comme des technologies « duales ».

Ce document est une simple lettre à destination des douanes, spécifiant que le produit exporté par Hacking Team, une arme électronique offensive, est faite dans les règles de l’art, conformément aux traités internationaux en vigueur et aux règlements européens. Le produit vendu est son système d’intrusion, le pays, c’est le Kazakhstan.

Beaucoup de textes qui au final ne posent aucune restriction, aucune sanction, à l’exportation de ce type de matériels et de logiciels.

Pour une entreprise d’un pays signataire des arrangements de Wassenaar, il suffit donc de mentionner dans sa déclaration que la marchandise ne va pas atterrir en Iran ou en Corée du Nord… enfin ça c’est en théorie.

Signalons au passage qu’exporter des technologie de surveillance du Net en Corée du Nord est en soi une absurdité, attendu que les nords coréens n’accèdent pas à Internet mais à un réseau ultra centralisé où la surveillance a été intégrée « by design », le Kwangmyong.

En pratique, l’entreprise qui exporte cette technologie ira assez naturellement livrer ses outils à un « intégrateur » d’un pays non signataire des arrangements de Wassenaar sur le contrôle des exportations d’armes conventionnelles et de biens et technologies à double usage et dégagé de toute règlementation contraignante ou traité international. Cet intégrateur pourra, lui, commercer avec qui lui chante.

Illustrons nos propos par une petite fiction partielle

Le Hezbollah iranien découvre une solution d’Amesys au Liban, une solution financée par les Emirats arabes unis pour lutter contre Daesh. Cet outil permettant de surveiller les communications à l’échelle d’une nation lui plait bien. Il s’adresse donc à un intégrateur libanais (et ça tombe bien parce que niveau bancaire, le Liban, c’est un peu la Suisse du Moyen-Orient), qui passe commande à un consortium d’entreprises réunissant une entreprise qui se voit attribuée la partie logicielle, et une autre la partie matérielle du marché. Ces deux entreprises expédient leur commande à l’intégrateur libanais qui le livre au client final iranien.

C’est aussi simple que ça ?

Oui c’est aussi simple que ça, puisque même si les logiciels et le matériel sont traçables par les fabricants et éditeurs (ne serait-ce que pour les mises à jour), aucun texte, aucun traité n’exige de ces entreprise de fournir les moyens de les tracer à des organismes de contrôle.

Mais devinez quoi ?

Eh bien, il n’existe pas non plus d’organisme de contrôle.

En d’autres termes, Wassenaar ou pas, la vente d’armes électroniques, c’est toujours la fête du slip et ce n’est pas prêt de s’arrêter.

Pire, ces ventes d’armes électroniques se font dans leur immense majorité avec la bénédiction des gouvernements. Et quand une entreprise se fait prendre la main dans le pot de confiture, comme Amesys, l’État du pays concerné organise soigneusement sa fuite pour qu’elle poursuive son activité, de préférence dans un pays non signataire d’un traité international portant sur l’exportation de ces armes numériques.

Pas de contrôle, pas de sanction, des états qui organisent eux-mêmes la fuite des entreprises qui se font prendre pour pérenniser leur business malsain, ce marché très porteur est l’un des plus singuliers de notre temps, assez proche du monde bancaire et financier pour bénéficier de circuits complexes, assez nouveau et technique pour bénéficier d’une indifférence généralisée de l’opinion publique et d’un splendide je-m’en-foutisme de la majorité de la classe politique.

Infiltrer, extraire, surveiller pour réprimer

Ces 4 mots sont la finalité exacte des outils commercialisés par Hacking Team. Pourtant, nul texte ne les définit comme des armes. Très pudiquement, on les qualifie de technologies à usage dual. Mais en quoi les solutions d’Hacking Team sont « duales », en quoi un Eagle (maintenant Cerebro), d’Amesys est « dual »…

• quand leur documentation explique leurs fonctionnalités : Infiltrer, extraire, surveiller pour réprimer ;
• quand les formations dispensées par ces entreprises entrainent au maniement d’une arme électronique ?

Dualité des cibles, mais pas des outils

Qu’il s’agisse d’outils de surveillance et d’interception des communications pour un usage massif ou d’outils d’intrusion ciblée sur un individu ou un groupe d’individus, ces outils sont des armes, elles ne le deviennent pas en fonction de qui ira les manipuler.
Les contrats sont souvent très clairs, on trouve régulièrement une ligne « outils de guerre électronique ».

Un « outil pour faire la guerre », électronique ou pas, c’est le mot pudique qui désigne une arme, ou une arme par destination, une arme cible des individus ou un groupe d’individus, et magie du cyber, on peut aussi cibler toute une population. Il n’est pas question ici d’un simple champ lexical, nous parlons bien d’armes, utilisables dans le cas d’une guerre, une guerre dont il est dramatiquement simple de dissimuler les cibles aux yeux de l’opinion internationale.

Un récent sondage commandé par Reporters sans frontières montre que, selon les lecteurs, le principal danger pour la presse, c’est… Le terrorisme. Non, pas les industriels qui la mènent dans le mur, pas les pressions des grandes entreprises qui retirent leurs budgets pub au moindre article jugé désobligeant. Non, la principale menace, selon les lecteurs, ce sont les attaques terroristes. On n’est pas sortis de l’auberge…

L’histoire est désormais connue, la France a montré un intérêt disons, certain, pour les produits de Hacking Team. Ce qui est assez logique, dans une simple optique de veille. La privatisation de la guerre numérique a ceci de particulier, que les Etats sont obligés de se tenir informés des armes produites. S’il est aisé d’avoir une idée de ce que font les sociétés établies dans son propre pays, il faut aller à la rencontre de celles qui ne le sont pas, comme si l’on était un simple prospect. Seul réconfort, la France n’a visiblement pas concrétisé, selon ce que laissent transpirer le documents dévoilés. Elle s’est illustrée dans le soutien à Amesys ou à Qosmos pour la vente d’armes numériques à des dictateurs, mais n’en a pas acheté au mercenaire Hacking Team qui vendait à presque tout le monde pourvu que le deal soit juteux. L’honneur est sauf ?

Reste tout de même une zone d’ombre. Si tout le monde a identifié les interlocuteurs au Ministère de l’Intérieur, au Groupement Interministériel de Contrôle, à la Gendarmerie, à la DGSI, à la DGSE, on en passe…, Emanuele Levi reste une énigme en tant qu’intermédiaire. Comment cet investisseur italien a-t-il noué des contacts avec le ministère de l’intérieur, la DGSI, la DGSE, le GIC ? Sa présence dans le capital d’une société française est peut-être un début d’explication…

Début avril, soutenues par Emanuele Levi, un ancien de Lazard Investment Banking reconverti dans le capital risque (360 Capital Partners), les équipes de Hacking Team rencontrent des représentants du ministère de l’Intérieur. Outre le capital risqueur, un fonctionnaire, Tancrede Lecluse, et deux autres personnes qui ne donnent ni leurs noms, ni leurs cartes de visites sont réunies autour de la table (probablement la DGSI). Visiblement, les interlocuteurs, en plein débat lié au projet de Loi sur le Renseignement, ont très bien réagi ce qui ressemble à la possibilité de s’introduire subrepticement chez un fournisseur d’accès à Internet pour y espionner directement des utilisateurs. Les questions juridiques ont également fusé. La défense a-t-elle déjà contesté les « preuves » récoltées ? Les mails internes de la société Haking Team font l’éloge Emanuele Levi lors de cette réunion.

Read My Lips ! I’m not an investor

Sur Twitter, ce dernier s’est défendu d’avoir jamais eu une quelconque relation avec Hackin Team. « Read my lips.. », comme disait un président américain…

Pourtant, il est actionnaire de l’entreprise à hauteur de 4%, selon un mail du patron.

Cette participation lui a été offerte en contrepartie de ses conseils financiers. Soit une valeur d’environ 110.000 euros à l’époque. Ce dont on retrouve d’ailleurs trace dans un très vieil article en italien.

Comment investit-on aussi bien dans « Le Slip Français » que dans une société qui fait commerce des armes numériques ? L’homme est éclectique. En tout cas, il est vent debout contre tout ce qui pourrait ennuyer les créateurs des start-up. Membre fondateur de l’association France Digitale qui regroupe toutes sortes de start-up et de sociétés du secteur numérique, il était aussi actif dans le mouvement des Geonpi, qui luttaient contre un projet de taxation lors des ventes de start-up.

Visiblement, Hacking Team n’est pas le seul vendeur d’armes numériques qui intéressaient Emanuele Levi. Il était aussi représenté au sein du conseil d’administration de feu Vupen, ce que laisse entendre David Vincenzetti, le patron de Hacking Team dans le mail cité supra. Et ce que confirment les bilans de Vupen.

Cette fois, il représente le fonds d’investissement 360 Capital Partners. Pour être précis, sa version luxembourgeoise. C’est plus discret.

Vupen a depuis, quitté la France où elle entretenait de très bonnes relations avec les différents services de renseignement.

Bye-bye FrenchTech…

C’est par un tweet rageur que Chaouki Bekrar avait annoncé le 31 mai 2015 la vente en cours de son entreprise Vupen : « On dirait que le logo de Vupen va changer dans un avenir proche et il y a des chances que nous disions un gros allez vous faire foutre et au revoir à la #FrenchTech ».  Vupen n’est pas tout à fait une société comme les autres. Spécialisée dans la recherche de bugs sur les logiciels et dans la fabrication d’ « armes » numérique, elle ne vendait ses trouvailles, disait-elle, qu’à des gouvernements de pays membres de l’OTAN et en priorité au gouvernement français… ou, c’est arrivé, à la NSA… Son patron est quant à lui un personnage pour le moins controversé.  Grande gueule au cœur d’un secteur feutré, celui de la sécurité informatique, il a commencé sa carrière par un passage au tribunal pour mise à disposition de failles informatiques. Son credo aujourd’hui ? Pourquoi rendre publique une faille informatique si l’on peut la vendre au plus offrant ?

Alors que la plupart des hackers rendent publiques les failles qu’ils découvrent afin que chacun puisse se protéger, Vupen, comme d’autres, fait commerce de ses trouvailles. L’entreprise avait refusé de fournir à Google une faille sur son navigateur, préférant la mettre aux enchères.

Vupen « suscite un intérêt majeur pour de grands groupes, notamment américains, et même si nous avons des liens forts avec la patrie nous étudierons toutes les opportunités qui se présentent à nous qu’elles soient françaises ou étrangères », expliquait Chaouki Bekrar à l’époque. Etrangement, le savoir-faire de Vupen n’a visiblement pas intéressé outre-mesure les grandes entreprises françaises du secteur : « Les grand groupes français de défense sont des couilles molles et ne sont malheureusement pas assez ambitieux et visionnaires pour se rendre compte de la valeur stratégique de certaines startups françaises comme VUPEN, ils préfèrent donc se focaliser sur des marchés et technologies du passé en ignorant totalement les enjeux futurs de la cyber-sécurité, une bien mauvaise nouvelle pour le tissu économique français mais une très bonne nouvelle pour les groupes de défense outre-Atlantique », précisait-il.

De fait, aucun groupe français n’a souhaité relever le défi. La société a été dissoute en France et s’est « expatriée ».  A Singapour selon les échanges de mail de Hacking Team, aux Etats-Unis selon d’autres sources. Mystère.

En dépit d’un profil adulé par tous les chantres français de la cyber-guerre, la société de Chaouki Bekrar n’a visiblement pas trouvé preneur parmi les « couilles molles » françaises.

Au sein de Hacking Team, la question d’un rachat de Vupen a été posée. Le patron de la société italienne, interroge par mail Emanuele Levi, actionnaire des deux entreprises, sur le prix demandé par Chaouki Bekrar.

Quant à ceux qui vantaient l ‘ « éthique et un sens de la Patrie irréprochables » de Vupen dans Les Echos, qui louaient Chaouki Bekrar dans Le Monde, en le présentant comme « un vrai chef d’entreprise, et un patriote, qui travaille au service de son pays », la réalité s’impose à eux : le patriote éthique reste sur sa ligne… le deal appartient au plus offrant…

Le concept même de guerre offensive au cœur des réseaux informatiques pose problème. Comment s’assurer qu’une arme numérique ne vous reviendra pas sur le coin de la figure comme un boomerang ? C’est le cas de n’importe que virus, évidemment. Mais aussi d’outils plus sophistiqués comme Stuxnet, qui avait visé les centrales d’enrichissement iraniennes. Et quand un fournisseur des services de renseignements de son pays, par la magie du marché, passe entre les mains d’un autre pays, comment savoir si tous les petits arrangements ne vont pas être utilisés contre ceux qui ont tant œuvré au développement de l’entreprise ? La migration fantôme des armes numériques est possible lorsqu’un vendeur comme Hacking Team n’est pas regardant sur ses clients, souvent avec l’appui même du pays dans lequel il est localisé, mais aussi lorsque par le grand jeu du capitalisme, quand une société est rachetée et émigre.

 

Drôle de surprise cette après midi lorsque je tente de me connecter à mon compte @_kitetoa_ sur Twitter : celui-ci a été bloqué. Le processus pour débloquer le compte, selon Twitter, est de se connecter via le Web, de donner son numéro de téléphone et de supprimer les tweets qui ont été signalés. Pourquoi pas… Problème, l’envoi de mon numéro de portable à Twitter doit générer un SMS qui me donnera un numéro permettant de passer à l’étape suivante : supprimer les tweets mis en cause. Or, même en entrant mon numéro de téléphone 10 fois, le SMS n’arrive pas.

Et le support de Twitter tourne en boucle, il me faut entrer mon numéro de téléphone…

Toutefois, les choses se précisent. Je peux aller consulter la page expliquant pourquoi mon compte est bloqué.

A force d’interpeller les salariés de Twitter France, mon compte finit par être débloqué. C’était une erreur. Désolés…

Reste à comprendre qui a signalé quoi pour que le compte soit ainsi bloqué sans que l’on me demande la moindre explication sur mes tweets.

Il me faut donc faire des conjectures…

VC ou Troll multi-condamné ?

Je cherche dans mes tweets récents des choses qui puissent vaguement s’apparenter à la « publication d’informations confidentielles ou privées appartenant à quelqu’un d’autre ».

Deux options. La première concerne Emanuele Levi, l’étrange Venture Capitalist qui détient 4% du capital de Hacking Team. La seconde concerne Jean-Paul Ney.

Vu la récente rafale de demande de blocage de comptes par Jean-Paul Ney et ses avatars (voir ici), je penche pour la deuxième option. D’autant que le pénible avait déjà tenté une action de ce genre en mandatant une avocate pour me faire perdre la propriété de mon nom de domaine (suivre le lien pour le détail de cette histoire) : kitetoa.com.

A ce stade, quelques explications s’imposent pour la bonne compréhension de la suite de l’article.

Jean-Paul Ney est une personne un peu dérangée, selon les psychiatres qui l’ont examiné pendant l’une de ses nombreuses garde à vues :

Visiblement suffisamment dérangée pour me menacer de mort, moi et ma famille de manière réitérée parce qu’un article que j’avais publié sur Transfert.net lui avait déplu.

Gentil, j’avais prévenu : je vais porter plainte, il appartient à Jean-Paul Ney de cesser ses menaces. Rien n’y faisait. La justice est lente, mais implacable. Jean-Paul Ney était condamné une première fois pour menaces de mort. Condamnation ferme et définitive, comme on dit dans le jargon juridique. Mais cela ne lui a pas suffi. Il s’est ensuite essayé à la diffamation. Deuxième avertissement, j’explique publiquement que je vais porter plainte. Même scénario, Jean-Paul Ney est condamné, cette fois pour diffamation à mon encontre. Condamnation ferme et définitive également.

Jean-Paul Ney est un troll. Il a pourri tellement de monde et s’est laissé aller à tant d’extravagances via son compte Twitter, qu’il s’est attiré une sorte de « fan-club ». La #TeamJipoune dans laquelle sont immédiatement incorporés ceux qui sont « bloqués » par Jean-Paul Ney (il ne supporte aucune contradiction et interdit à tous ceux qui le contredisent de lire ses tweets).

Tu t’es vu quand la presse parle de toi ?

Par ailleurs, il y a quelques jours, la presse a parlé de Jean-Paul Ney à l’occasion de la publication d’un rapport de Malek Bouthih. Il avait auditionné Jean-Paul Ney. Désormais connu pour ses délires sur Usenet, la presse ne l’a pas raté.

Pour mieux comprendre la perception que la presse a de ce grandissime journaliste, vous pouvez lire, entre autres, les articles de l’Express, de Buzzfeed, du Monde, du Point, du Parisien, de FranceTVInfo… On en passe. Ce n’est pas la première fois que la presse s’intéresse à ce personnage. L’Humanité a dressé un portrait de lui ici. Télérama un autre ici. Il y a de nombreuses années, Le Point avait déjà dressé un portrait de Jean-Paul Ney, il était alors mis en examen pour « appropriation d’un secret de défense nationale ». Cette mise en examen a été relayée plusieurs fois sur Internet, mais personne n’a jamais su s’il avait été condamné pour ces faits. Nous y reviendrons.

Voilà pour le contexte.

Passons aux tweets (probablement) incriminés maintenant.

Twitter se refuse à me dire quels tweets sont mis en cause, ni qui a demandé le blocage de mon compte. Mais si la théorie Jean-Paul Ney est la bonne, on peut imaginer que celui-ci a voulu faire disparaître un tweet dans lequel je fourniassait un document issu de l’un des procès qui m’ont opposé à lui.

 

@reinformateur @lemondefr @buzzfeed @lesinrocks @lefigaro @libe @jpney pic.twitter.com/cBOZlOmL11

— Kitetoa (@_Kitetoa_) 12 Juillet 2015

<script src="//platform.twitter.com/widgets.js" async="" charset="utf-8">
Pourquoi publier ce document ?

Parce que depuis toujours, Jean-Paul Ney explique qu’il n’a jamais été condamné, que tout ce qui est sur mon site est une accumulation de faux, et qu’enfin, tout cela est hébergé sur un site à l’étranger par un anonyme, ce qui l’empêcherait de pouvoir agir en justice.

Premier point, vu le nombre de condamnations fermes et définitives qu’il me doit (deux), il sait très bien qui je suis et que Kitetoa est un pseudonyme pour « Antoine Champagne », le propriétaire de  Kitetoa.com. Deuxième point, même si mon site est hébergé à l’étranger, je répond devant les tribunaux des plaintes déposées contre « Kitetoa ».

Il me semble donc logique, lorsque Jean-Paul Ney dit ne jamais avoir été condamné, d’apporter des preuves tangibles de ses condamnations.

Ce que je vais donc refaire ici.

1) Jean-Paul Ney a été condamné en mars 2004 de manière ferme et définitive pour menaces de mort réitérées à mon encontre.

2) Jean-Paul Ney a été condamné en février 2008 de manière ferme et définitive pour diffamation à mon encontre.

Le dossier d’instruction de ma première affaire a été publié dans son intégralité ici.

Et un dossier d’instruction, c’est intéressant parce que cela contient des informations sur les éventuelles précédentes condamnations de la personne mise en cause. De ces dossiers d’instruction, je peux fournir les documents de Justice démontrant que :

3) Jean-Paul Ney a été condamné en novembre 2000 pour vol avec violence.

4) Jean-Paul Ney a été condamné en juillet 2006 pour vol et appropriation d’un secret de défense nationale.

Les services de police et de gendarmerie le connaissent fort bien et s’en expliquent :

Maintenant, comme je l’ai déjà dit à plusieurs reprises, si Jean-Paul Ney est si persuadé que tous ces documents sont des faux, que je suis un menteur invétéré, anonyme, caché à l’étranger, membre d’une secte qui le persécute, comme il le répète si souvent, je l’encourage à intenter un procès en diffamation à mon encontre, à me poursuivre pour avoir créé de faux documents de justice. Ce sera plus courageux que de tenter de me faire perdre mon nom de domaine par une procédure idiote, ou de faire bloquer mon compte par Twitter. J’irai m’expliquer devant un juge avec des pièces tamponnées par le Tribunal de Nanterre. En outre, comme à chaque fois qu’il a tenté s’attaquer à moi, je dis clairement que cela ne restera pas impuni. A bon entendeur.