Après avoir vendu un système de surveillance électronique à la Libye de Mouammar Kadhafi, la société Amesys a changé de nom et d’actionnaire pour vendre ses services au nouveau pouvoir égyptien. Sans que l'Etat français y trouve quelque chose à redire.

Eté 2011 : rattrapé par le printemps arabe, Mouammar Kadhafi est en fuite. Dans une Libye insurrectionnelle, une entreprise française inconnue du grand public prend la lumière à son corps défendant. Au cœur d’un centre d’écoute de Tripoli, deux journalistes du Wall Street Journal identifient formellement son logo sur un panonceau. Elle s’appelle Amesys, et elle a vendu un système de surveillance des télécommunications à la Jamahiriya du colonel. Une « faveur » de Nicolas Sarkozy, pour signer le retour de Kadhafi dans le concert des nations, avec l’aide de l’incontournable intermédiaire Ziad Takieddine. Un an plus tard, une information judiciaire est ouverte contre Amesys, pour complicité d’actes de torture. Ses outils auraient permis au régime libyen de traquer et de torturer des opposants. L’enquête est alors confiée au tout nouveau pôle du tribunal de grande instance de Paris, spécialisé dans les crimes contre l’humanité. Depuis, le dossier, inédit, avance chichement. Tous les protagonistes – ingénieurs, grand patron, victimes – ont été entendus. Les dernières gardes à vue ont eu lieu au printemps et, selon nos informations, Amesys a été placé sous le statut de témoin assisté le 30 mai. L’entreprise a fini par devenir le Voldemort de la surveillance électronique : à la simple évocation de ce nom, les visages se ferment. Mais quelques langues se délient. Aiguillé par plusieurs sources, Télérama a retrouvé la trace de cette boîte sulfureuse en Egypte. En 2017, une entreprise française poursuivie pour avoir fait commerce avec un dictateur continue d’écouler les mêmes produits auprès de pays pas plus fréquentables. Pis, elle le fait avec l’aide des autorités hexagonales. Business as usual. Au risque de voir l’Histoire bégayer.

Amesys: Egyptian trials and tribulations of a French digital arms dealer Read the english version

Plus jamais ça, semblait pourtant avoir promis le gouvernement. Dans une interview au Monde, en décembre 2013, Fleur Pellerin, encore ministre déléguée à l’Economie numérique, assure que la France va davantage contrôler l’exportation des technologies dites « duales », dont l’usage civil peut être détourné au mépris des droits de l’homme. Au même moment, un émissaire des Emirats arabes unis prend langue avec Stéphane Salies, le nouveau patron d’Amesys. Son pays souhaite offrir un cadeau au voisin égyptien, qui vient de renverser le président Morsi à la faveur d’un coup d’Etat militaire. La surprise ? Un système d’écoute à 10 millions d’euros pour lutter – officiellement – contre les Frères musulmans. En deux mois, l’affaire est entendue. Le contrat est signé en mars 2014. Nom de code de l’opération : « Toblerone ». Un clin d’œil cryptique à la forme triangulaire des pyramides…

Pour conclure la transaction, Salies s’appuie sur les deux sociétés sœurs qu’il a créées. Directeur commercial d’Amesys au moment du scandale libyen, il vend peu après ses actions à deux holdings – Crescendo Industries et I2E – pour racheter l’entreprise, filiale du groupe Bull, qui souhaitait s’en délester. Contre 6 millions d’euros, il acquiert également la propriété intellectuelle des logiciels commercialisés par Amesys. En avril 2012, il enregistre les deux nouvelles entités : Nexa Technologies, domiciliée à Boulogne-Billancourt, et Advanced Middle East Systems (AMESys, filiation assumée), établie dans la zone franche de Dubai. Au cœur de l’« Internet City » du Golfe, une dizaine de salariés – essentiellement des commerciaux – sont chargés de vendre Cerebro, la solution phare de cet Amesys lifté. Le nom est un emprunt au surpuissant ordinateur des X-Men, qui amplifie les pouvoirs des télépathes.

En réalité, pas besoin d’être extralucide pour deviner l’opération de maquillage : comme l’attestent les brochures présentées sur les salons Milipol (qui réunissent les professionnels de la sécurité tous les deux ans), ce logiciel est une copie actualisée d’Eagle, le programme cédé à Kadhafi. Si le sobriquet diffère, les finalités sont identiques : intercepter massivement les communications à l’échelle d’un Etat. Outre un stockage systématique des métadonnées – qui permettent par exemple de savoir quel ordinateur s’est connecté à quel site et quand, ou quels téléphones sont entrés en contact –, Advanced Middle East Systems promet « une surveillance en temps réel des suspects » grâce à des sondes particulièrement intrusives, capables de capter les e-mails, de traquer les SMS, d’espionner les chats ou de surveiller les réseaux sociaux. « A n’importe quel moment, les enquêteurs peuvent suivre l’activité de leur cible en entrant des critères avancés (adresses e-mail, numéros de téléphone, mots-clés) », peut-on encore lire en compulsant la documentation technique. En clair, Cerebro peut aspirer toutes les données qui ne sont pas chiffrées. Une arme de choix pour les gouvernements autoritaires.

En haut, un schéma du système Eagle, tel que proposé par Amesys à la Libye en 2007. En bas, un schéma du système Cerebro, tel que commercialisé par Advanced Middle East Systems aujourd'hui.

Les détails du contrat, que nous avons pu consulter, offrent un aperçu du montage égyptien. Le cahier des charges a le mérite de la clarté : « Prestation de services liée à la mise en œuvre d’un système d’interception légale IP dans le cadre de la lutte contre le terrorisme et la criminalité. » Pour le reste, Nexa Technologies expédie la marchandise, Advanced Middle East Systems en est le destinataire et le ministère de la Défense égyptien – en l’espèce, la direction du renseignement militaire –, l’utilisateur final. L’entreprise française assure un service après-vente complet : « Gestion de projet, réunions d’avancement, gestion de sous-traitants locaux, rapports d’avancement, installation, formation à l’utilisation, personnalisation de l’interface graphique utilisateur. » Sollicité à plusieurs reprises pour commenter ses affaires en Egypte, Stéphane Salies a systématiquement refusé de nous répondre.

Tous les quarante-cinq jours, des techniciens se rendent sur place depuis Dubai ou Paris, afin de former les équipes et de finaliser la mise en route du système. Des ingénieurs parisiens sont mis à contribution. Une source interne l’assure mi-juin : « La technologie est en cours de déploiement. Il manque encore quelques data centers, qui seront opérationnels d’ici à la fin de l’année. » Une première maintenance est prévue en 2018, et le même interlocuteur ne fait pas mystère de son inquiétude. « Avec la condamnation à mort de centaines de Frères musulmans, je ne suis pas tranquille », soupire-t-il, en craignant que le scénario libyen se répète. « Nous avons une épée de Damoclès au-dessus de la tête. » Les services de renseignement français ont-ils réclamé – comme c’est parfois l’usage – une porte dérobée afin de veiller aux intérêts stratégiques tricolores, ou de désengager si les circonstances l’imposent ? « La DGSE n’en a pas voulu », jure-t-il encore. Un fin connaisseur de ce genre de dossiers confirme : « Amesys est trop radioactif. » De fait, l’entreprise est blacklistée par les espions français depuis son embourbement libyen. Mais si la société n’est plus en odeur de sainteté avec l’appareil d’Etat, le deal a été conclu avec la bénédiction implicite des autorités françaises, soudainement frappées de cécité.

Le 8 juillet 2014, un mois jour pour jour après l’élection controversée du maréchal Sissi à la présidence de l’Egypte, Stéphane Salies soumet une demande de licence d’exportation au Service des biens à double usage (SBDU). Créée en mars 2010, cette autorité de contrôle dépend du ministère de l’Economie et délivre environ cinq mille licences par an. Son périmètre est large : les BDU, comme on les appelle, peuvent aussi bien concerner des composants chimiques à 10 euros qu’une centrale nucléaire livrée clés en main pour quelques milliards. « Pour les dossiers les plus sensibles, nous menons une instruction approfondie et collégialisée avec l’ensemble des ministères concernés », explique Bruno Leboullenger, le chef du service. Pour un commentaire sur l’Egypte, il faudra repasser. « En raison de la nature de son activité, la Commission interministérielle des biens à double usage [CIBDU, ndlr] est couverte par le secret de la défense nationale. Nous appliquons un principe de discrétion mais nous agissons toujours dans un cadre légal. »

Illustration : Yann Legendre pour Télérama

C’est ici que les choses se gâtent. Le 10 octobre 2014, le service de Bercy rend son avis sur la demande d’Amesys. Ou plutôt, il refuse de se prononcer. Problème : dix mois plus tôt, en décembre 2013, un avis paru au Journal officiel est venu contraindre les exportateurs à obtenir l’aval du SBDU pour exporter des technologies d’interception IP vers des pays non membres de l’Union européenne... Précisément la nature du contrat signé entre Amesys et l’Egypte. Au lieu de donner le feu vert ou de bloquer le contrat, les douanes apposent un tampon « non soumis » sur le formulaire. Selon la terminologie maison, cela signifie que le produit exporté… n’entre pas dans la liste des biens à double usage. Incompréhensible. « Je ne peux commenter aucune affaire particulière », se borne à répéter Bruno Leboullenger, qui invoque la nature classifiée de la délibération. Nous n’en saurons pas plus du côté des autorités : avec l’Italie, la France est le pays européen le plus opaque dès lors qu’il s’agit de communiquer sur l’exportation de ces technologies sensibles.

Si l’Etat avait promis plus de transparence et de garanties après l’affaire libyenne, ce nouveau dossier agit comme un cruel révélateur des carences du contrôle. L’administrateur du SBDU ne le dit pas, mais la commission chargée d’arbitrer les dossiers ne se compose pas seulement de représentants ministériels (Affaires étrangères, Intérieur, Défense, Matignon). On y retrouve aussi le gratin des services de renseignement (outre la DGSE et la DGSI, un siège est également à disposition de la DRM, la direction du renseignement militaire). Signe ultime de cette coloration très secrète : ce petit monde se réunit aux Invalides, dans les sous-sols du Groupement interministériel de contrôle (GIC), l’organisme chargé de superviser les écoutes téléphoniques de l’Etat. Ces deux dernières années, la commission n’a opposé que deux refus à Amesys : pour la vente de technologies d’interception aux services secrets pakistanais (la DGSE a posé son veto), et pour l’exportation de deux systèmes de surveillance – dont un satellitaire – vers la Turquie, en novembre 2016, moins de six mois après le putsch manqué contre Erdogan (on a bondi, au ministère des Affaires étrangères).

Pour le reste, Amesys a obtenu neuf autres licences depuis le début de l’année 2016 : trois en Afrique de l’Ouest, deux au Moyen-Orient, une en Afrique subsaharienne, une en Europe, une en Asie et une en Amérique du Sud. Echaudé par ses précédentes mésaventures, Salies a préféré décliner les propositions les plus inflammables, venues du Soudan du Sud, d’Iran et de Biélorussie. Un vieux routier du secteur brise l’omerta : « Evidemment que les services français sous-traitent une partie du renseignement technique. C’est ça ou abandonner le terrain aux Chinois et aux Israéliens. On ne peut pas être des Bisounours, on se dit qu’on fait ça pour servir les intérêts de son pays. De toute façon, tous les pays s’équiperont, chez nous ou ailleurs. » En pointant le durcissement des conditions d’exportation, il pronostique la fin programmée de son activité : « Dans dix ans, plus aucune entreprise ne fera ça en Europe, nous aurons tous été mis au chômage par l’empilement des procédures. » En attendant, c’est toujours open bar, et le marché de la surveillance soigne ses comptes en banque.

A trois reprises au moins ces dernières années, le Parlement européen a pourtant exhorté les pays membres à stopper l’exportation de technologies duales vers l’Egypte. En août 2013, les ministres des Affaires étrangères de l’UE décident « que les Etats membres [suspendront] les licences pour l’exportation vers l’Egypte de tout équipement utilisé pour la répression dans le pays ». Bis repetita en janvier 2015 : le Parlement européen vote une résolution demandant « l’interdiction, à l’échelle de l’Union européenne, de l’exportation vers l’Egypte de technologies d’intrusion et de surveillance susceptibles d’être utilisées pour espionner et réprimer les citoyens ». Après la mort de Giulio Regeni, un étudiant italien dont le corps couvert de marques de torture est retrouvé dans les faubourgs du Caire début 2016, l’UE en remet une couche, et « demande la suspension des exportations des équipements de surveillance si des éléments attestent qu’ils seront utilisés pour commettre des violations des droits de l’homme ». Qu’à cela ne tienne, Le Caire reste un partenaire privilégié des pays européens, et en particulier de la France (qui a vendu vingt-quatre avions de chasse Rafale et une frégate pour 5 milliards d’euros en février 2015). Lors d’une visite au Caire le 8 juin dernier, le nouveau ministre des Affaires étrangères, Jean-Yves Le Drian, est d’ailleurs venu porter « un message d’amitié » de la part d’Emmanuel Macron. Sans dire un mot sur les droits de l’homme.

La police prend des mesures de sécurité pour prévenir les manifestations contre le régime militaire lors du 5e anniversaire de la révolution égyptienne en 2011, dans le quartier de Haram à Gizeh, en Egypte, le 25 janvier 2016. © Ibrahim Ramadan / Anadolu Agency

De l’autre côté de la Méditerranée, la situation ne cesse d’empirer. Dans des proportions inédites, même sous Moubarak : manifestations réprimées dans le sang, arrestations arbitraires, procès inéquitables et disparitions non élucidées se sont banalisées dans l’Egypte de Sissi. En tout, selon Human Rights Watch et d'autres organisations internationales, entre 40 000 et 60 000 prisonniers politiques croupiraient dans les geôles d'un pays où la société civile n'a plus aucun droit. Le 29 mai, le président a promulgué une loi contrôlant de manière extrêmement zélée l’activité des ONG, interdisant notamment les organisations de défense des droits de l’homme. Selon Le Monde, « le Parlement entend désormais légiférer pour contrôler l’accès à des sites comme Twitter ou Facebook ». Et tandis que le pays détient toujours le record mondial des condamnations à mort, la surveillance, notamment électronique, s’intensifie. En décembre 2014, l’Etat a commencé par créer un Haut conseil à la cybersécurité ; depuis mai, au moins soixante-trois sites, notamment d’information, ont été bloqués ; le réseau TOR et les VPN, qui permettent aux internautes de surfer anonymement, sont régulièrement ciblés. « Ces dernières années, le gouvernement et le secteur de la sécurité ont développé des outils et des méthodes pour pratiquer à la fois la surveillance de masse et l’espionnage ciblé », précise Ramy Raoof, un activiste membre de l’Initiative égyptienne pour les droits de la personne. Et au mois de novembre dernier, il a été le témoin « de l’attaque la plus sophistiquée menée contre des groupes de défense des droits humains en Egypte ». Baptisée « Nile Phish », cette campagne a été documentée au début de l’année 2017. Le nom d’Amesys n’est pour l’heure apparu nulle part. Mais désormais, tout le monde le guette. A commencer par les premiers concernés.