Espionnage: Vupen, l'entreprise française qui bosse pour la NSA

Un manifestant contre la NSA et en soutien du lanceur d’alerte Edward Snowden le 27 juillet 2013 à Frencfort en Allemagne, REUTERS/ Kai Pfaffenbach

Un manifestant contre la NSA et en soutien du lanceur d’alerte Edward Snowden le 27 juillet 2013 à Frencfort en Allemagne, REUTERS/ Kai Pfaffenbach

Cet été, quand The Guardian a révélé que la National Security Agency (NSA) américaine espionnait de nombreux pays européens dont la France, notre classe politique a fait entendre son indignation. La France «ne peut pas accepter ce type de comportement entre partenaires et alliés» avait estimé François Hollande, tandis que l’affaire était qualifiée de «très grave» par François Fillon et «d’acte d’hostilité inqualifiable» par Christiane Taubira.

Alors que la pertinence de cette vague d’indignation avait déjà été remise en cause par les révélations du Monde sur le propre programme de surveillance de la France, une nouvelle information vient mettre un peu plus dans l’embarras ceux qui s’étaient sentis outrés par le programme américain: la NSA a acheté des outils de hacking à une entreprise française, Vupen.

Selon un contrat publié récemment par le site MuckRock, qui se spécialise dans les demandes au gouvernement américain sous le Freedom of Information Act (une loi qui oblige les agences fédérales à transmettre leurs documents à quiconque en fait la demande), la NSA a acheté l’année dernière un abonnement de 12 mois à un «service d’analyse binaire et d’exploits» vendu par Vupen, entreprise basée à Montpellier.

Sécurité informatique ou espionnage?

Les «exploits» sont des codes complexes écrits par des hackers pour exploiter des failles dans des systèmes d’exploitation et autres programmes largement utilisés comme Windows, Google Chrome, Internet Explorer, Java ou encore Flash. Quand ces exploits concernent des failles jusqu’ici méconnues du public, on parle d’exploits «0 day».

Officiellement, les agences de renseignement comme la NSA peuvent utiliser ces exploits pour renforcer la sécurité de leurs réseaux informatiques. Mais ils peuvent aussi s’en servir pour infiltrer des ordinateurs dans des opérations d’espionnage.

Le montant du contrat a été effacé du document publié par les autorités américaines, et le PDG de Vupen Chaouki Bekrar refuse de donner plus d’informations aux journalistes. Contacté par le site français Numerama, il a simplement déclaré:

«L'intégralité des travaux de recherche et développement réalisés par VUPEN sont mis à la disposition de ses clients gouvernementaux afin de leur permettre de protéger pro-activement leurs systèmes et infrastructures contre des attaques sophistiquées et, dans certains cas, protéger leur nations

«Trafiquant d'arme» numérique

Il précise que son entreprise travaille «exclusivement avec des pays alliés». Dans un article de février dernier sur Vupen, Le Monde écrivait de son côté:

«Quelques entreprises ont choisi un marché plus lucratif: la "sécurité offensive" –un euphémisme pour désigner l'espionnage ou le vol de données. Au lieu de traiter avec les éditeurs, elles vendent leurs découvertes au plus offrant, c'est-à-dire souvent à des organismes officiels –police, armée, services secrets– qui s'en servent pour traquer des délinquants, surveiller des entreprises et des gouvernements étrangers, ou leurs propres citoyens. […]

Vupen et les autres sociétés de sécurité offensive se sont fait beaucoup d'ennemis. Aux Etats-Unis, les hackeurs libertaires, les associations de défense des libertés, les sociétés de sécurité classiques et les grands services Internet comme Google mènent contre elles des campagnes d'opinion très actives, en les assimilant à des trafiquants d'armes.»

Il est possible que la NSA utilise les services de Vupen pour des raisons défensives dans le but de protéger les infrastructures du gouvernement américain de ses adversaires. Mais le Washington Post affirmait en août dernier que l’agence utilisait également des «exploits» dans des opérations offensives, et notamment pour espionner des réseaux informatiques étrangers.  

Vers plus de régulation

Autre hypothèse, la NSA pourrait vouloir «décrypter l'offre Vupen, et comprendre à quelles informations de sécurité d'autres gouvernements peuvent avoir accès», rapporte le Journal du Net.

Selon le Washington Post, la NSA conçoit elle-même la plupart des «implants» qu’elle utilise dans ce but, mais a aussi un budget de 25,1 millions de dollars pour «des achats additionnels secrets de failles de programmes» à des fournisseurs privés. Ryan Gallagher de Slate.com souligne que le marché des exploits est en pleine expansion, et que Vupen est un des leaders européens en la matière. L’entreprise réalisait un chiffre d’affaires de près d’un million d’euros en 2011, dont 86% à l’étranger.

Les législateurs européens, inquiets que la technologie tombe entre de mauvaises mains, réfléchissent actuellement à l’imposition de nouvelles restrictions qui pourraient limiter les ventes d’exploits. La semaine dernière, l’eurodéputée néerlandaise Marietje Schaake a déclaré:

«Nous devons mettre fin à l’exportation et à la prolifération des armes numériques maintenant. Nous devons combler le vide de régulation, et cela implique de maîtrise le commerce des exploits zero day.»

G.F.

Partager cet article