Voici 2 jours que je retourne dans tous les sens les publications qui auraient pu me valoir une nouvelle condamnation, cette fois au motif de l’article 323-3-1 du code pénal. Voici pour le moment l’hypothèse que je retiens si je me fie à la date des faits inscrite sur l’avis avant poursuite du 11/06/2015 que j’ai reçu le 04/08/2015 (logique), pour un jugement rendu le 04/11/2014 sans que je n’en soi, à aucun moment notifié, sans procédure contradictoire, sans même que je ne sache que j’étais mis en cause dans une autre affaire que celle de l’ANSES.

Après des heures passées à éplucher mes publications de la période des faits indiquée sur le document que j’ai reçu (à savoir la période de novembre 2011), je pense, sans aucune certitude, enfin commencer à comprendre ce qu’on me reproche.

Novembre 2011, une attaque DDOS de grande envergure vise des hébergeurs comme Gandi et NBS System pour ne citer qu’eux. La cause est identifiée : des serveurs de jeu d’OVH et de l’hébergeur allemand 1&1 sont à l’origine d’une majorité du trafic de cette attaque. De mémoire, il s’agissait des FPS de Valve, qui sont régulièrement le vecteur de ce genre d’attaques. Des explications techniques sur ce type de DDoS amplifiés sont disponibles par exemple dans cet échange. Problème : OVH ne veut à l’époque, à tord ou à raison, rien entendre et laisse faire, il ne veut pas couper les machines de ses clients gamers qui relaient sans le savoir le trafic, massif, qui paralyse plusieurs grosses cibles. Valve de son côté a mis beaucoup de temps à patcher.

Le code servant à l’attaque est identifié, je le récupère je ne sais plus trop où (ça va quand même faire 5 ans), mais comme souvent, il s’agit d’un proof of concept et non d’un code utilisable out of the box. Il démontre la vulnérabilité, ce n’est pas un soft packagé sur lequel on clic pour allumer une cible, il ne dispose pas d’interface graphique, bref il faut un minimum de compétences pour l’utiliser.

Puis je ne sais plus à quelle période, sûrement quelques mois après cette publication, peut-être même un an, je suis invité à me présenter dans un commissariat de quartier, situé proche des Halles à Paris. Je me présente spontanément, je ne suis pas mis en cause, à aucun moment on ne me notifie une garde à vue ou une quelconque mise en cause de près ou de loin, l’entretien est cordial. On m’interroge sur les motivations de cette publication, l’OPJ semblait bien avoir compris de quoi il en retournait, et ce n’est pas la première fois que j’explique clairement que ces attaques sont quelque chose de nuisible à Internet en général et qu’elles sont stupides, ni même la première fois que je fais de la prévention là dessus en encourageant d’autres méthodes, légales celles ci, de se faire entendre… puis, plus aucune nouvelle de cette affaire.

A l’issue de cette entrevue avec un OPJ, j’ai consentis à retirer ce proof of concept de mon blog, un blog relativement confidentiel, puisque je n’y écris pas sous mon pseudo habituel. Son but n’était donc pas de faire des milliers de clics, ils s’adressait à un public bien ciblé. Il était accessible à l’URL http://cypherpunk.fr. En outre le code en question est évidemment encore disponible sur le net.

Sur ce blog, il y avait un peu de code, principalement dans un espace privé… mais comme ça parle de sécurité et de frameworks python, c’est forcément un blog de cybercriminel, la preuve il est écrit en vert fluo sur fond noir, si c’est pas une signature de pirate ça !

Sachez que mon blog sur les engins explosifs artisanaux est localisé à cette adresse.

Je ne sais pas ce que l’OPJ a écrit dans son enquête, mais j’imagine très bien ce qu’un procureur en a pensé sans aucune explication, sans aucun recul… c’est déjà pas simple tous les jours avec Gogleuh, alors avec ça… Je vous laisse juger sur pièce avec ce que j’ai pu retrouver de ce blog défunt dans webarchives.

Ce blog me servait de base de travail, et les scripts vraiment hostiles n’étaient pas publics, ils étaient bien privés et destinés à mener des tests sur les applications de mes clients. Ah je ne vous ai pas dit… C’est une partie de mon activité professionnelle. L’autre partie vous la connaissez, c’est d’expliquer et rendre compte dans des blogs et des sites de presse sur des problématiques liées à la surveillance et la sécurité informatique, comme ici sur Reflets, ou sur Rue89.

Mais n’ais-je pas essayé de tuer toute la planète avec une recherche Gogleuh après tout ?

Pire j’organise depuis des années Pas Sage en Seine, un odieux rendez-vous de hackers qui mettent à disposition du public sans motif légitime des outils et des connaissances destinées à comprendre ou à se protéger.

Quoi qu’il en soit, la loi dispose en son article 323-3-1 :

Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

Tirer dans le dos du messager ?

Comme je n’ai évidemment jamais eu accès au dossier, je suis incapable de vous dire ce qui a déclenché cette procédure ni vous dire avec certitude si c’est bien de cette affaire dont il s’agit, je sais juste qu’il n’y a pas de plaignant, ce qui complique évidemment pour moi la compréhension de ce qu’il s’est passé et qui laisse perplexe le TGI quand je lui demande des précisions sur les faits.

Le juge n’a pas retenu comme motif légitime l’information ni le fait que la sécurité informatique soit un peu mon activité professionnelle principale… c’est un point de vue que j’entends contester attendu que je n’ai eu droit à aucune procédure contradictoire jusque là et que ça me semble au bas mot curieux que la justice n’ait pas réussi à mettre la main sur moi pour me notifier de quoi que ce soit sur cette affaire en dehors de ma condamnation, et que parallèlement elle me trouvait très bien pour l’affaire qui m’a opposé à l’ANSES et qui m’a notamment valu une perquisition à mon domicile à peu près à la même période. Probablement une panne de fax, allez comprendre.

On a donc un délit de mise à disposition de moyens de piratage sans motif légitime. Et oui, sur un blog technique, on explique, on fait de la pédagogie, on démontre. Et croyez le ou non, on ne démontre pas un DDoS avec des représentations de Picsou Magazine.

Pourquoi l’avoir fait publiquement ? Tout simplement parce que le code était disponible publiquement sur Internet, ça n’avait rien d’un scoop et je n’ai par exemple pas choisi de le publier sur reflets.info qui drainait une audience autrement plus importante que ce blog. Un imbécile l’a utilisé pour taper une autre cible ? Oui et alors ? J’en suis donc complice ?
J’ai toujours eu une position un peu nuancée sur le full disclosure, je le trouve dans certains cas nécessaire, mais je pratique le responsible disclosure depuis des années, il doit y avoir un paquet d’entreprises et d’administrations qui peuvent en témoigner.

Autre chose me chiffonne, il n’y a pas de plaignant, donc pas de victime. Mais comme pour l’ANSES, un jour un procureur se réveille et décide de lancer des poursuites à mon encontre… je ne sais pas quand, je n’ai pas la chronologie de cette procédure, mais je vous fiche mon billet que ça matche pas mal avec l’histoire de l’ANSES. Hasard du calendrier ?

Le comble…

Vu que je ne sais pas grand chose à ce jour, et qu’obtenir des informations est une tâche semble t-il assez compliquée puisque même le TGI ne sait pas me renseigner, il ne me reste que cet article 323-3-1 du code pénal, objet de cette nouvelle condamnation, qui raisonne comme une cruelle ironie pour des faits qui remontent au moment même où nous divulguions les affaires Amesys et Qosmos sur Reflets.info, portant sur la cession d’armes électroniques à des régimes autoritaires, et qu’à ce jour, rien n’est formellement reproché à ces entreprises par la justice.

C’est le nouvel épisode d’un truc que les internautes ne vont pas du tout apprécier, il s’agit du lancement d’une initiative visant à transformer HADOPI en un outil vraiment répressif, probablement bien aidé par le lobbying des ayants droit qui trouvait l’HADOPI un peu trop molle : pas assez de procédure, collaboration quasi inexistante à la constitution d’une offre légale et des pressions continues pour une riposte graduée plus ferme.

L’HADOPI a été ces dernières années un laboratoire qui se positionnait aux premières loges pour mesurer l’effet de la catastrophique pression exercée sur les réseaux peer to peer, les seuls qui permettaient une saine économie du partage.
La haute autorité a bien constaté une baisse de l’utilisation du P2P (il s’agit des fameux 35% de Nicolas Sarkozy, c’est ce qui permet à la commission de la protection des droits et à la présidente sortante de défendre son « bilan »), mais dans le même temps une augmentation proportionnelle de l’usage d’autres moyens, comme le direct download qui permet à quelques petits malins de s’assurer des revenus confortables sur le dos des auteurs.

 

L’HADOPI a très bien compris qu’il fallait se poser la question de reconnaitre une économie du partage pour ne pas contribuer comme elle l’a fait ces dernières années à alimenter une économie parallèle de la distribution des biens culturels. Un état de fait que la présidente sortante élude soigneusement, comme la commission de protection des droits… le bilan de l’HADOPI, nous le connaissons, c’est beaucoup d’emails, une poignée de procédures, et surtout l’explosion de cette économie parallèle des sites de direct download.

Exit les promesses de François Hollande qui pendant sa campagne voulait en terminer avec l’HADOPI, exit le « courage » parlementaire du groupe socialiste qui s’était largement opposé aux amendes automatisées… car ce sont bien les amendes administratives automatisées qui sont maintenant en ligne de mire, c’est en ce sens que le Sénat a oeuvré dans son dernier rapport parlementaire.

Sur la base d’une adresse IP, facilement falsifiable, c’est donc vers un système d’amendes automatiques que nous nous orientons, une bien belle réforme de la haute autorité et surtout de rôle de prévention et d’aide à la constitution d’une offre légale.

L’HADOPI sera désormais tout sauf indépendante en perdra non seulement son secrétaire général qui au fil des ans était parvenu à ouvrir un dialogue avec toutes les parties, même les plus opposées à la loi Création et Internet, mais elle perdra ses missions les plus nobles et les moins absurdes. L’HADOPI va montrer le visage que nous craignions depuis le vote de cette loi :

• une subvention étatique déguisée, cadeau fait aux majors ;
• Un outil exclusivement répressif : une petite milice au service exclusif des ayants droit.

L’HADOPI n’aura plus le droit de s’auto-saisir d’études, son rôle se cantonnera donc à la distribution d’amendes administratives sur la base d’une adresse IP (!), collectée par une entreprises privée mandatée par les ayants droit qui surveillera le réseau. Terminé également ses travaux autour de l’offre légale, terminé son rôle préventif.

Le changement, c’est donc maintenant.

C’est un tweet de Vanessa Burggraf qui a fait remonter cette vieille histoire à la surface… Elle nous annonçait un plateau en or pour parler de la Turquie et de l’Etat Islamique. Entre autres personnalités, nous allions entendre sur France 24 un certain Alexandre del Valle. Une simple consultation de sa fiche Wikipedia aurait permis à Vanessa Burggraf ou aux petites mains qui composent les plateaux, de se faire une idée du personnage. Excessivement droitier, Alexandre del Valle qui a longtemps trainé avec le courant de la Droite Libre, initiatrice de la fameuse tendance « Droite décomplexée », chère à Nicolas Sarkozy, est aussi un fervent dézingueur des islamistes de tous poils, qu’il voit à peu près partout.

Je faisais donc remarquer à Vanessa Burggraf, qui ne m’a évidemment pas répondu, que le personnage était pour le moins « controversé ».

Ce qui n’a visiblement pas plu au principal intéressé.

Le souvenir de cette vieille affaire du faux rapport sur le MRAP, visant à le discréditer, est remonté à la surface lorsque Alexandre del Valle a répondu à l’un de mes tweets.

Après la chute de SOS-Racaille, la première fachosphère française, certains membres ont reconstitué des forums d’échange pour y discuter de toutes leurs rancoeurs, de tous leurs ennemis. Or il se trouve que les contenus de ces forums ont échoué, à une certaine époque, entre mes mains. On y découvrait un étrange projet, visant à discréditer le MRAP qui, dans leur langage se traduit par « Mouloud Rentre Au Pays ».

Autre bizarrerie, parmi les « cautions » intellectuelles recherchées par les membres de la fachosphère, un certain Alexandre del Valle.

L’histoire commence donc ainsi, par un post dans un forum:

 La connerie du mrap a été de taper sur tout le monde, ce qui au lieu de nous isoler peut au contraire nous entourer ! Une idée pour passer de ce stade à l’offensive contre eux : Si nous parvenons à utiliser des « cautions », des associations et personnalités « respectables », en faisant créer par d’autres un collectif contre le terrorisme intellectuel, avec juristes, ecrivains, etc.. Ce collectif publierait un rapport sur le mrap, accusant son racisme, son lien avec des mouvements antidémocratiques, ses méthodes de terrorisme intellectuel et les menaces qui s’ensuivent. Conférence de presse, eventuellement poursuites judiciaires….. J’ai quelques contacts qui peuvent m’aider en ce sens…mais il est essentiel que ce collectif n’apparaisse pas comme une emanation de l’extreme droite, et encore moins d’anciens de sosR. En cela le choix des personnalités va etre essentiel : j’avais pensé à Me Golnadel mais il semble qu’il est souvent apparu comme avocat du Betar..et cela n’irait pas comme caution première . Je rencontre Del Valle prochainement à ce sujet, et compte bien le faire revenir sur sa première idée : il est partant pour un rapport sérieux sur le mrap (je lui ai indiqué que des gens de chez nous y travaillaient)..mais semble sceptique sur le soutien de ces « personnalités ». Il est vrai qu’il a été très attaqué, diabolisé, menacé, depuis un moment et semble un peu desespéré, et en veut à la « mouvance » sosR d »y avoir contribué » par provocations successives. Je pense qu’il faut ratisser large, de Dominati au CRIF, pour constituer un collectif « respectable » contre le MRAP. En gros, on se farcit le boulot, on prepare le materiel, on reunit les ingredients par contacts indirects, on allume la meche…et on regarde. Je commence à travailler à ce prérapport, en utilisant tous les travaux de recherche que vous avez fait (notamment Poutine). Les axes auxquels j’ai pensé : liens entre mrap et islamistes par participation à des actions communes (partie dure à prouver …) racisme du mrap par denonciation unilaterale et selective du racisme, et pas le contenu anti juif de son rapport et a l’occasion de certaines de ses apparitions publiques. Liens avec des groupes hostiles aux valeurs democratiques (ultragauche et mouvements aux programmes révolutionnaires pronant parfois l’insurrection armée) méthodes de terrorisme intellectuel, calomnies, amalgames, et denonciations publiques…suivies de menaces sur les personnes dénoncées. Il faut que le rapport soit béton, et surtout, que ces travaux restent confidentiels : l’effet de surprise doit jouer afin que le mrap qui est en phase d’attaque n’ait pas le temps de préparer sa défense. Ensuite, il est très IMPORTANT que nous n’apparaissions pas comme étant à l’initiative de ces travaux, et encore moins du respectable collectif. J’aimerais votre avis ..

Pour décrire le contexte, à l’époque, le MRAP a publié un rapport traitant justement de la fachosphère et a porté plainte contre plusieurs de ses représentants. Des interpellations ont eu lieu et la tendance est à la guéguerre.

Alexandre del Valle semble en contact fréquent avec l’un des membres du forum qui semble très bien le connaître.

Sa tactique fut, jusque là, d’apparaitre comme expert en geopolitique, spécialiste de l’islam, ce qui lui permettait une audience médiatique très importante . Tactiquement aussi, les médias utilisèrent après le 11 septembre, sa théorie de l’alliance islamisme-USA..pour attaquer non pas l’islamisme mais bien les USA . Et il ne fut pas dupe à ce sujet.   Cette période passée, le lynchage, de Canal + au Monde, jusqu’au rapport du MRAP se déchaîna. Si l’on rajoute les menaces à domicile, les déménagements, les accusations de trahison venant de notre propre camp (« il a trahi en entrant à l’UMP » ou « il s’est dégonflé pour l’interview sur sosR » et d’autres qui me sont parvenues aux oreilles)…on peut davantage comprendre les effets dévastateurs sur la personne. Or, et le MRAP ne s’y est pas trompé en en faisant sa cible privilégiée, c’est un personnage essentiel par ses apports théoriques ,ses facultés intellectuelles , sa capacité de travail, de notre combat. La lecture de son livre Islam Etats Unis, une alliance contre l’Europe fut pour moi une révélation . J’ignore si je serais ici en ce moment sans ce livre. Y réfléchissant depuis quelques temps, et ayant attaqué la rédaction d’un pré-rapport sur le mrap que je lui montrerais le w end prochain…je pense qu’il faudrait tenter de contacter le Generall Gallois (faisable), difficilement attaquable (ex ministre de De Gaulle, Gd résistant, créateur de la théorie de disuasion nucléaire de la France reprise dans le mond eentier, auteur de « le soleil d’Allah aveugle l’occident » …et directeur de la thèse de Del Valle…). Finkelkraut, attaqué, mais en douceur par le MRAP serait aussi un atout essentiel, mais là ça risque d’être compliqué, mais ça en vaut la chandelle. Si l’on parvenait à intenter un procès au MRAP pour racisme par des gens intouchables, ce serait un pas énorme : l’antiracisme sélectif deviendrait reconnu comme un racisme pur et simple (c’est un des axes de mon prérapport).

Le projet, qui semble assez rocambolesque, mais il prend forme peu à peu.

Je suis en train de bosser sur un pré rapport sur le mrap,pour tenter un gros coup…monter un respectable collectif contre le terrorisme intellectuel, avec uniquement des gands noms et des juristes, axé sur le mrap. Je peux t’expédier le début des travaux…les liens entre le mrap et les groupes islamistes palestiniens, les liens entre le mrap et les révisionnistes, les méthodes illégales du mrap, et le racisme du mrap par son antiracisme sélectif. Quelques 300 pages en prévision avec toutes les captures d »écran nécessaires . Ces cons sont discrets sur leur site national…mais pas sur leur site régionaux, notamment celui du nord-pas de calais. Je rencontre Del Valle dimanche pour parler du prérapport (non signé, bien sûr) et la construction du collectif de personnalités. Partie fine, mais si on s’y prend bien on peut les exploser et rendre illégaux, ou au moins ridicules, les termes islamophobie et arabophobie. Rien du prérapport n’est à dévoiler pour l’instant, ni des préparatifs d’attaque A bientôt !

On pourrait bien sûr se dire que tout cela n’est que le fruit d’un délire entre complotistes d’extrême-droite, issus de SOS-Racaille et que rien de tout cela ne s’est concrétisé. Cependant, un troublant et très éphémère Comité contre tous les racismes (CCTR) a vu le jour. Il a publié un rapport contre le MRAP et ses supposées accointances avec les islamistes. On trouve encore aujourd’hui quelques traces de ce Comité. Ici par exemple. Ou là. Ou encore ici. Votre serviteur avait évoqué ce sujet ici.

Sur le site d’Alexandre del Valle, on retrouvait, jusqu’il y a peu, en liens amis le fameux « Mouvement des magrhébins laïques de France » évoqué sur les sites ayant fait la promotion du rapport.

Mais aussi, dans les personnalités amies, un certain Jean-Paul Ney.

Ce dernier, dans l’un des sites où il publiait sa haine de votre serviteur, faisait un lien vers… Le Collectif contre tous les racismes, auteur du fameux rapport réalisé en sous-main par la fachosphère.

Un bien petit monde…

C’est une évidence : moins il y aura de pays détenant la bombe nucléaire, mieux le monde se portera. Si l’accord entre l’Iran et le reste du monde sur son développement nucléaire peut enrayer son accès à la bombe, tant mieux. Ceci dit, il est intéressant de voir comment les Etats-Unis se conforment aux enquêtes de l’Agence internationale de l’énergie atomique (AIAIE). Un vieux document (août 2005) de l’armée américaine tombé entre les mains de Reflets, va nous y aider.

L’accord sur le nucléaire iranien a été salué par Barack Obama et la presse s’en est fait l’écho :

Barack Obama s’est félicité de cette entente « historique » avec l’Iran qui, si elle aboutit à un accord final d’ici le 30 juin, « l’empêchera d’obtenir l’arme nucléaire ». « L’Iran a donné son accord pour un régime de transparence et les inspections les plus approfondies jamais négociées dans l’histoire des programmes nucléaires », a poursuivi le président américain. Répondant par avance à ses détracteurs, Barack Obama a assuré que l’Iran serait « plus inspecté que n’importe quel autre pays dans le monde« . « Si l’Iran triche, le monde le saura », a-t-il lancé.

Quand il parle de régime de transparence avec les inspections les plus approfondies jamais négociées, il sait visiblement de quoi il parle. Son pays a signé un accord du même type en 1977, entré en vigueur en 1980.

National Security Exclusion

Mais les Etats-Unis ont une vision personnelle de la transparence à appliquer lorsque l’AIEA vient inspecter le pays. Un projet d’instruction du ministère de la Défense détaille un aspect de l’accord passé avec l’AIEA permettant d’éviter que les visites de l’agence portent sur certain nombre de lieux. En clair, pas question pour les inspecteurs de s’approcher, même de loin, de :

« Applying the NSE under the U.S.-IAEA Additional Protocol (AP): The Department of Defense shall apply the NSE to exclude IAEA access under reference (c) to all DoD-owned or -leased spaces, structures, facilities, installations, or land as well as all DoD-funded programs, activities, or information associated with military, national security, or homeland defense, including: operations and training; intelligence; materiel production, maintenance, and supply; research, development, test and evaluation; and infrastructure and personnel. The Department of Defense shall also apply the NSE to exclude any other government- or contractor-owned or operated activity, location, or information from U.S. declaration requirements and IAEA complementary access where their proximity to, or association with, a DoD equity could result in IAEA access to that defense equity.« 

Le NSE correspond au « National Security Exclusion », un droit unilatéral des Etats-Unis à exclure un accès de l’AIEA aux activités ayant un importance pour la sécurité nationale, à des lieux ou des informations associés à ces activités. Grosso-modo, n’importe quoi, au bon vouloir des autorités américaines.

Comme l’évoque d’ailleurs l’accord, les Etats-Unis peuvent très bien transporter du matériel nucléaire sur un site exclu du champ des visites :

« However, other provisions required adaptation in light of fundamental differences between the terms of the U.S. offer and the obligations of non-nuclear weapon states party to the NPT. These differences reflect several facts: 1) The U.S. offer excludes activities of direct national security significance and does not contain any limitations on use of nuclear material by the United States. (Therefore, the agreement provides that at any time the United States can remove a facility from the list of those eligible for safeguards should the facility become associated with activities of direct national security significance, and the United States can transfer nuclear material from eligible facilities to any location including non-eligible facilities.) 2) The United States has sole authority to decide which U.S. facilities are eligible for safeguards, and the IAEA has sole authority to decide which eligible facilities will be selected for safeguards (although the IAEA is obliged to take into account the requirement that the U.S. Government avoid discriminatory treatment between U.S. commercial firms similarly situated). 3) The United States had made separate commitments to provide to the IAEA, for safeguards purposes, information on imports and exports of nuclear material.« 

La transparence, c’est super, mais il ne faudrait pas abuser.

L’autre blague contenue dans l’accord passé avec l’Iran se trouve en page 142 du document. Sans être aussi explicite que cela, le texte contenu dans cette page évoque une coopération des pays occidentaux, Etats-Unis en tête bien entendu, avec l’Iran pour sécuriser ses lieux liés au nucléaire. En d’autres termes, après avoir très probablement saboté des centrifugeuses avec Stuxnet, les Etats-Unis vont former les Iraniens à la protection des mêmes centrifugeuses. Un détail qui n’a pas échappé aux opposants viscéraux à tout accord avec l’Iran aux Etats-Unis. Pourtant, la blague est drôle et pour un peu on pourrait la qualifier de blague de Geek. C’est dire…

Dans la masse de données fuitées suite au piratage de la société italienne Hacking Team, un petit document, d’apparence assez anodin, devrait nous fournir une base de réflexion sur l’immense hypocrisie qui entoure l’exportation d’armes électroniques, considérées en droit international comme des technologies « duales ».

Ce document est une simple lettre à destination des douanes, spécifiant que le produit exporté par Hacking Team, une arme électronique offensive, est faite dans les règles de l’art, conformément aux traités internationaux en vigueur et aux règlements européens. Le produit vendu est son système d’intrusion, le pays, c’est le Kazakhstan.

Beaucoup des textes qui au final ne posent aucune restriction, aucune sanction, à l’exportation de ce type de matériels et de logiciels.

Pour une entreprise d’un pays signataire des arrangements de Wassenaar, il suffit donc de mentionner dans sa déclaration que la marchandise ne va pas atterrir en Iran ou en Corée du Nord… enfin ça c’est en théorie.
Signalons au passage qu’exporter des technologie de surveillance du Net en Corée du Nord est en soi une absurdité attendu que les nords coréens n’accèdent pas à Internet mais à un réseau ultra centralisé où la surveillance a été intégrée « by design », le Kwangmyong.

En pratique, l’entreprise qui exporte cette technologie ira assez naturellement livrer ses outils à un « intégrateur » d’un pays non signataire des arrangements de Wassenaar sur le contrôle des exportations d’armes conventionnelles et de biens et technologies à double usage et dégagé de toute réglementation contraignante ou traité international. Cet intégrateur pourra, lui, commercer avec qui lui chante.

Illustrons nos propos par une petite fiction partielle

Le Hezbollah iranien découvre une solution d’Amesys au Liban, une solution financée par les Emirats arabes unis pour lutter contre Daesh. Cet outil permettant de surveiller les communications à l’échelle d’une nation lui plait bien. Il s’adresse donc à un intégrateur libanais (et ça tombe bien parce que niveau bancaire, le Liban, c’est un peu la Suisse du moyen Orient), qui passe commande à un consortium d’entreprises réunissant une entreprise qui se voit attribuée la partie logicielle, et une autre la partie matérielle du marché. Ces deux entreprises expédient leur commande à l’intégrateur libanais qui le livre au client final iranien.

C’est aussi simple que ça ?

Oui c’est aussi simple que ça, puisque même si les logiciels et le matériel sont traçables par les fabricants et éditeurs (ne serait-ce que pour les mises à jour), aucun texte, aucun traité n’exige de ces entreprise de fournir les moyens de les tracer à des organismes de contrôle.

Mais devinez quoi ?

Et bien il n’existe pas non plus d’organisme de contrôle.

En d’autres termes, Wassenaar ou pas, la vente d’armes électroniques, c’est toujours la fête du slip et ce n’est pas prêt de s’arrêter.

Pire, ces ventes d’armes électroniques se font dans leur immense majorité avec la bénédiction des gouvernements. Et quand une entreprise se fait prendre la main dans le pot de confiture, comme Amesys, l’Etat du pays concerné organise soigneusement sa fuite pour qu’elle poursuive son activité, de préférence dans un pays non signataire d’un traité international portant sur l’exportation de ces armes numériques.

Pas de contrôle, pas de sanction, des états qui organisent eux-mêmes la fuite des entreprises qui se font prendre pour pérenniser leur business malsain, ce marché très porteur est l’un des plus singuliers de notre temps, assez proche du monde bancaire et financier pour bénéficier de circuits complexes, assez nouveau et technique pour bénéficier d’une indifférence généralisée de l’opinion publique et d’un splendide je-m’en-foutisme de la majorité de la classe politique.

Infiltrer, extraire, surveiller pour réprimer

Ces 4 mots sont la finalité exacte des outils commercialisés par Hacking Team. Pourtant, nul texte ne les définit comme des armes. Très pudiquement, on les qualifie des technologies à usage dual. Mais en quoi les solutions d’Hacking Team sont « duales », en quoi un Eagle (maintenant Cerebro), d’Amesys est « dual »

• quand leur documentation explique leurs fonctionnalités : Infiltrer, extraire, surveiller pour réprimer ;
• quand les formations dispensées par ces entreprises entrainent au maniement d’une arme électronique ?

Dualité des cibles, mais pas des outils

Qu’il s’agisse d’outils de surveillance et d’interception des communications pour un usage massif ou d’outils d’intrusion ciblée sur un individu ou un groupe d’individus, ces outils sont des armes, elles ne le deviennent pas en fonction de qui ira les manipuler.
Les contrats sont souvent très clairs, on trouve régulièrement une ligne « outils de guerre électronique ».

Un « outil pour faire la guerre », électronique ou pas, c’est le mot pudique qui désigne une arme, ou une arme par destination, une arme cible des individus ou un groupe d’individus, et magie du cyber, on peut aussi cibler toute une population. Il n’est pas question ici d’un simple champ lexical, nous parlons bien d’armes, utilisables dans le cas d’une guerre, une guerre dont il est dramatiquement simple de dissimuler les cibles aux yeux de l’opinion internationale.