Un revendeur de logiciel espion plaide coupable aux États-Unis

La justice américaine vient d'inculper un homme d'affaires ayant commercialisé le logiciel espion de la société italienne Hacking Team, en sachant qu'il serait utilisé à des fins extra-judiciaires. D'autres enquêtes seraient en cours. Les enquêteurs se disent déterminés à faire le ménage dans ce milieu.

Un homme d'affaires mexicain a plaidé coupable, la semaine passée, devant un tribunal fédéral américain, « admettant qu'il avait conspiré pour vendre et utiliser des systèmes d'interception et de surveillance à des clients du gouvernement mexicain, ainsi qu'à des clients privés et commerciaux », précise le communiqué de presse du procureur américain du district sud de la Californie.

Carlos Guerrero, 48 ans, a non seulement reconnu avoir commercialisé des brouilleurs de signaux, des outils d'interception Wi-Fi, des IMSI catchers et la possibilité de pirater des messages WhatsApp à des clients potentiels aux États-Unis et au Mexique, mais aussi et surtout qu'ils seraient détournés à des fins extra-judiciaires :

« Guerrero a admis savoir que, dans certains cas, ses clients du gouvernement mexicain avaient l'intention d'utiliser l'équipement d'interception à des fins politiques, plutôt qu'à des fins légitimes d'application de la loi. Dans un cas, il s'est sciemment arrangé pour qu'un maire mexicain obtienne un accès non autorisé aux comptes Twitter, Hotmail et iCloud d'un rival politique. »

Guerrero a en outre admis que les outils et technologies de piratage qu'il commercialisait seraient utilisés « à des fins commerciales et personnelles par des clients privés », et non afin de lutter contre la criminalité, sous contrôle d'un juge.

« Ce plaidoyer de culpabilité aide à endiguer la prolifération des outils numériques utilisés pour la répression et fait progresser la sécurité numérique des citoyens américains et mexicains », a déclaré le procureur californien Randy Grossman. « Notre bureau s'est engagé à perturber les cyberactivités malveillantes et à atténuer la surveillance illégale ».

« Avec ce plaidoyer de culpabilité, nous envoyons un message clair que les entreprises et les individus qui violent illégalement les droits à la vie privée ne seront pas tolérés et qu'ils seront tenus responsables », a déclaré Chad Plantz, agent spécial en charge de l'unité Homeland Security Investigations (HSI) de San Diego :

« Le monde dans lequel nous vivons est de plus en plus interconnecté par la technologie destinée à améliorer nos vies, mais comme on le voit dans ce cas, cette même technologie peut être acquise par de mauvais acteurs aux intentions néfastes. HSI et nos partenaires chargés de l'application de la loi resteront déterminés à traduire en justice ceux qui tentent de manipuler ces plateformes à des fins néfastes. »

« Une entreprise d'avant-garde de solutions de sécurité »

« La répression américaine contre les fournisseurs de logiciels espions ne fait que commencer », titre Motherboard, qui s'est procuré l'accord de plaidoyer.

On y apprend que Guerrero et son employé Daniel Moreno avaient aidé le maire d'une ville de l'État de Morelos à pirater un rival politique et à accéder à ses comptes Twitter, Hotmail et iCloud.

Dans une autre affaire en décembre 2015, Guerrero et l'un de ses employés avaient utilisé « un dispositif d'interception » pour mettre sur écoute les appels téléphoniques d' « un concurrent commercial ».

Et dans un autre cas, en février 2017, un ou plusieurs employés d'Elite by Carga, la société de Guerrero, avaient « accepté de pirater le téléphone et le compte de messagerie d'un représentant de commerce basé en Floride d'une grande entreprise mexicaine en échange d'un paiement d'environ 25 000 $ de l'entreprise mexicaine ».

À l'époque, Carga se présentait comme « une entreprise d'avant-garde dans le développement de solutions de sécurité » commercialisant notamment des systèmes de vidéosurveillance intelligents, de surveillance GSM passif, des brouilleurs de téléphones portables, et disposant d'une « équipe de renseignement et de contre-espionnage ».

Une conséquence du « doxxing » de Phineas Fisher ?

Le document ne précise pas qui était le fournisseur de logiciel espion, mais Motherboard précise qu'il s'agit d'Hacking Team, le pionnier italien du genre, dont Guerrero était devenu le représentant au Mexique.

On retrouve la trace de plusieurs e-mails envoyés par ou adressés à Guerrero et Moreno dans les archives que WikiLeaks avait mis en ligne après qu'Hacking Team avait été « doxxé » par Phineas Fisher.

• Surveillance de masse : Hacking Team piratée, 400 Go de données seraient dans la nature

Cette dernière, qui se présentait comme une hacktiviste anarchiste et n'a jamais été identifiée, s'était aussi fait connaître en piratant Finfisher, le concurrent allemand de l'italien Hacking Team, qui ne s'est jamais remis du scandale et est « définitivement mort » en 2020.

Hacking Team et Gamma (la maison mère de Finfisher) faisaient partie (avec la française Amesys) des cinq entreprises qualifiées d'« ennemis de l'Internet » par RSF en 2013 au motif que leurs logiciels espions « ont été ou sont utilisés par les autorités pour commettre des violations des droits de l’homme et de la liberté de l’information » :

« À l’instant même où ces entreprises ont entrepris de commercer avec des régimes autoritaires, elles ne pouvaient ignorer que leurs produits pourraient être utilisés pour surveiller des journalistes, dissidents ou net-citoyens. »

À l'époque, leur potentielle dangerosité n'était alors dénoncée que par les seuls défenseurs des droits de l'homme, au point qu'elles avaient toutes deux exposé au forum « Technology Against Crime » à Lyon, où Manuel Valls, alors ministre de l'Intérieur, avait défendu la légitimité des technologies de surveillance.

Les révélations Snowden venaient tout juste de mettre en lumière les risques posés par les services (et outils) de renseignement technique, et Manuel Valls plaidait alors « la nécessité d’une extrême vigilance sur la protection des données personnelles et le respect des libertés publiques », tout en résumant l'enjeu de la situation :

« L'accès aux données doit s'opérer par ciblage des individus ou groupes qui présentent une menace réelle, sous le contrôle d'une instance indépendante garantissant le respect de ces finalités et de ce ciblage... Bref, le déploiement de tout nouvel outil doit inclure dès le départ une réflexion sur les garanties, juridiques ou techniques, qui peuvent être apportées au respect fondamental des libertés individuelles ».

« Nous avons besoin de développer ces nouvelles technologies pour lutter contre les menaces. Mais ces nouvelles technologies doivent recevoir la confiance de nos concitoyens [...] condition indispensable pour que ces outils technologiques soient acceptés socialement, et [soient] donc efficaces », précisait-il.

D'autres poursuites pourraient advenir

Dans leur communiqué de presse, souligne Motherboard, les autorités américaines ont précisé que cette affaire ne concernait pas seulement Guerrero.

Une source ayant demandé à rester anonyme car elle n'était pas autorisée à parler à la presse a d'ailleurs confirmé à Motherboard que l'enquête était toujours en cours et qu'il y aurait d'autres développements dans les prochains mois.

John Scott-Railton, chercheur au Citizen Lab à la Munk School de l'Université de Toronto et qui documente depuis des années les abus des marchands de logiciels espion, relève de son côté que les autorités américaines seraient désormais très intéressées « par les abus de logiciels espions mercenaires » et que « de toute évidence, elles ont la mémoire longue » :

« Je parie que quelques distributeurs de logiciels espions auront un sommeil horrible ce soir, et réfléchissez-y à deux fois avant de vous envoler pour les États-Unis de si tôt. »

En décembre, 16 députés démocrates états-uniens avait de leur côté demandé au Département du Trésor et au Département d'Etat de sanctionner les sociétés de cybersurveillance NSO Group, DarkMatter, le français Nexa Technologies (ex-Amesys) et sa filiale Trovicor.

Les législateurs réclament des sanctions dites « Global Magnitsky », qui punissent ceux accusés d'avoir permis des violations des droits humains, en gelant les comptes bancaires et en interdisant les voyages aux États-Unis. L'objectif serait de « les punir de manière significative et envoyer un signal clair à l'industrie des technologies de surveillance » :

« Ces mercenaires de la surveillance ont vendu leurs services à des régimes autoritaires avec de longs antécédents de violations des droits humains, donnant de vastes pouvoirs d'espionnage aux tyrans. L'administration Biden a la possibilité d'éteindre le robinet des dollars américains et de les aider à faire faillite pour de bon ».

La semaine passée, le Contrôleur européen de la protection des données avait pour sa part estimé que l' « interdiction du développement et du déploiement de logiciels espions dotés de la capacité de Pegasus dans l'UE serait l'option la plus efficace pour protéger nos droits et libertés fondamentaux ».

Les dirigeants de Nexa ont été mis en examen en juin 2021 pour « complicité de tortures » et « disparitions forcées », pour avoir vendu leur système de surveillance de masse aux services de renseignement militaires libyens de Mouammar Kadhafi, et égyptiens d’Abdel Fattah Al-Sissi.

Guerrero, qui encourt 5 ans de prison et un maximum de 250 000 dollars d'amende, est sorti de prison en attendant l'audience de détermination de la peine, prévue pour le 13 mai.