Selon nos informations, l’entreprise française Ercom équipe le régime autoritaire égyptien en systèmes de surveillance de masse. Il y a quelques mois, “Télérama” avait déjà révélé les activités similaires d’une autre société, Nexa (ex-Amesys). Cet article a reçu le prix 2019 Relay-SEPM de la meilleure enquête.

« Derrière sa banalité se cache une machine digne de James Bond. » 8 novembre 2017 : sur le plateau de BFM, un journaliste high-tech exhibe fièrement une réplique du téléphone sécurisé d’Emmanuel Macron. Un Samsung Galaxy « customisé par Orange Cyberdéfense », et doté « d’une boîte noire qui détruit toutes les données en cas de perte ou de vol ». Ce qu’il ne dit pas, c’est qu’une PME française a développé la technologie qui équipe ce petit bijou réputé inviolable. Son nom ? Ercom. L’histoire pourrait s’arrêter là. Un entrefilet dans la presse spécialisée. Un placement de produit parmi tant d’autres. Mais Ercom est une entreprise d’un pedigree particulier.

Sous ses dehors très présentables, elle vend de puissants systèmes de surveillance des réseaux à des régimes peu recommandables. Avec la bénédiction des autorités françaises. Selon des témoignages concordants recueillis par Télérama, Ercom équipe notamment l’Egypte du très autoritaire maréchal Sissi. En 2014, alors que le nouvel homme fort arrivait au pouvoir, la firme hexagonale a fourni des sondes et un logiciel perfectionné aux Renseignements militaires. Ces outils permettent d’intercepter l’intégralité des appels et des SMS, de surveiller le trafic Internet ou de géolocaliser une cible. Huit mois après nos révélations sur les activités de Nexa (ex-Amesys), c’est une preuve supplémentaire des échanges soutenus entre Paris et Le Caire dans le domaine du profilage des populations.

Créée en 1986, Ercom – pour Engineering Réseaux Communications – est « spécialisée dans la sécurisation des terminaux » et des informations qui y transitent. La société se porte bien : 46 millions d’euros de chiffre d’affaires, 180 salariés, et des nouveaux qui arrivent tous les mois. Elle est basée à Vélizy-Villacoublay, à 20 kilomètres au sud-ouest de Paris, sur un campus anonyme, moins prestigieux que celui du voisin Dassault Systèmes. Vélizy, le lieu des premières expérimentations du Minitel ; Villacoublay, la base aérienne 107, où est stationnée la flotte présidentielle et le commandement des opérations spéciales. L’endroit est stratégique, le fond de l’air, militaire.

Sur son site Internet, Ercom fait sa réclame comme n’importe quelle start-up désireuse de capitaliser sur les dangers d’un monde surconnecté et paranoïaque. C’est un bon filon : « [Nous développons] une gamme complète de solutions simples et certifiées en réponse aux besoins croissants des entreprises en matière de communications sécurisées. » Ses produits phares ? Cryptobox, un système de stockage chiffré pour protéger les données des entreprises ; Cryptopass (disponible sur l’AppStore), une alternative hexagonale à WhatsApp ou Telegram ; et Cryptosmart, une enclave sécurisée pour téléphones sensibles.

C’est cette solution qui équipe le smartphone d’Emmanuel Macron. Et quelques autres. Outre l’Elysée, Ercom protège également les tablettes des diplomates du Quai d’Orsay et pas moins de vingt mille fonctionnaires du ministère de la Défense. La carrosserie est rutilante : les technologies maison sont certifiées par l’Anssi, la très sérieuse Agence nationale de la sécurité des systèmes d’information, garante de l’hygiène numérique des administrations et des entreprises d’importance vitale. Le macaron est bien visible sur de jolies brochures au papier glacé.

Suneris, une filiale très discrète

Mais cette success story n’est pas si rectiligne. Dans le plus grand secret, Ercom exporte également des technologies de surveillance. Cela a même été son cœur de métier. Plus maintenant, du moins officiellement. Yannick Dupuch, son patron, le jure à qui veut bien l’entendre : sa société, historiquement proche de la DGSE, « n’est plus compétitive » dans le domaine de l’interception légale, et souhaite se concentrer sur la protection des données. Fini les barbouzeries. Dans un portrait chinois pour L’Usine digitale, le p-dg fait même du zèle : « Si vous étiez une requête Google ? – Comment me protéger des grandes oreilles », répond-il sans trembler du menton. Il ne s’agirait pas d’effrayer l’Etat, monté au capital en piochant dans sa cagnotte personnelle. En juin 2011, le Fonds stratégique d’investissement (FSI, devenu Bpifrance), fonds souverain codétenu avec la Caisse des dépôts, a débloqué la bagatelle de 18 millions d’euros pour soutenir le développement de l’entreprise. La banque publique sait-elle que son poulain est toujours très actif dans le secteur des écoutes ? Sollicitée à trois reprises, sa direction de la communication a refusé de s’exprimer sur le sujet. Et même de détailler son actionnariat.

Soucieux de camoufler la partie la plus sensible – et la plus rentable – de son activité, Ercom a créé une filiale opaque en avril 2015 : Suneris Solution. Ca pourrait être le nom d’une divinité antique ; c’est peut-être une référence à Eris, la planète naine la plus massive du système solaire. Bref, pas le genre d’officine à affectionner la lumière. En novembre dernier, Ercom exposait à Milipol, le grand raout des forces de sécurité du monde entier. Tous les deux ans, flics en civil, vétérans borgnes du Mossad et gendarmes polyglottes se pressent au Parc des Expositions de Villepinte pour tester le tout nouveau pistolet Glock, grimper dans un véhicule antiémeute dernier cri ou découvrir les gadgets ultramodernes de la lutte antiterroriste. Sur le stand de l’entreprise française, aucune trace de Suneris, même en soulevant les moquettes. « Nous n’avons rien à voir avec eux », se défend un démonstrateur stressé avant de tourner les talons.

Surveillance électronique Illustration : Gianpaolo Pagni pour Télérama

Pourtant, l’attestation de dépôt de capital enregistrée au tribunal de commerce de Versailles le confirme : Suneris est une filiale à 100 % d’Ercom, domiciliée au même siège. Les deux sociétés dépendent de la même holding – Crystal – et partageaient d’ailleurs le même patron – Yannick Dupuch – jusqu’au 14 juillet 2017. A cette date, cet ancien d’Alcatel-Lucent a préféré passer la main à l’un de ses lieutenants. Pourquoi ? Mystère. Mais neuf jours avant ce passage de témoin, Télérama levait le voile sur les affaires de Nexa (ex-Amesys) – un concurrent d’Ercom – en Egypte (depuis, le parquet de Paris a ouvert une information judiciaire contre l’entreprise pour « complicité d’actes de torture et disparitions forcées »).

Officiellement, on ne vend rien à des pays discutables.”

Un ancien salarié

D’après ses statuts, « [Suneris] a pour objet en France et à l’étranger l’étude et la commercialisation des logiciels et matériels concourant à la réalisation ou à l’optimisation des réseaux de communication, à leur sécurité et à celle des terminaux associés ». La réalité est moins pudique. Au sein d’une division « Homeland », une quarantaine de salariés (dont une dizaine de commerciaux), tous habilités secret défense, travaillent sur des systèmes de surveillance de masse écoulés à l’étranger : en Côte d’Ivoire, au Mali, au Gabon, au Bahreïn, en Arabie saoudite. « C’est une entité physique indépendante séparée des autres activités pour rassurer le gouvernement », élabore un intermédiaire du sérail qui côtoie la société depuis de nombreuses années. Objectif : faire disparaître le nom d’Ercom des marchés les plus inflammables. Dans cette branche discrète, les équipes phosphorent sur un intercepteur Wifi judicieusement nommé « Wifileaks », et des IMSI-catchers – ces fausses antennes relais qui permettent de pénétrer les téléphones alentour – dorment derrière les portes, bien au chaud dans leurs valises en résine renforcée. Pour épater les acheteurs, la société a même équipé une luxueuse Audi Q7, capable d’aller aspirer des données sur le terrain de jeu à proximité : le centre commercial de Vélizy 2.

« En interne, tout est cloisonné, explique un ancien salarié. Officiellement, on ne vend rien à des pays “discutables”. Quand je suis arrivé, personne ne m’a expliqué qu’on travaillait sur des systèmes d’interception à l’échelle d’un pays. On nous disait juste qu’on construisait un outil permettant d’exploiter une base de données pour le compte de l’Etat français. On ignorait même l’identité des clients et leur nombre. Les projets ont des noms de code obtus [tels que STR-264 ou Luna, ndlr], les pays ne sont jamais mentionnés. Mais quand vous voyez des commerciaux revenir de voyage avec des pâtisseries libanaises… » Pour franchir les frontières, Suneris peut s’appuyer sur quelques VRP de luxe, comme Charles Millon, ministre de la Défense du gouvernement Juppé au mitan des années 90.

Vortex et Cortex s’envolent pour Le Caire

En 2014, plus d’un an avant la création de sa filiale sécurisée, Ercom a mis le grappin sur un gros client : l’Egypte d’Abdel Fattah al-Sissi. A cette époque, à la faveur d’un scrutin très contesté et après avoir renversé son rival Mohamed Morsi, le maréchal vient d’être élu président. Il promet de combattre le terrorisme dans le Sinaï, veut éliminer les Frères musulmans du jeu politique, et plus si affinités. Les Emirats arabes unis comptent l’y aider. Comme dans le cas de Nexa, ils acceptent de régler la facture, estimée à 15 millions d’euros. Comme dans le cas de Nexa, c’est la direction du renseignement militaire qui réceptionne la marchandise. Personne, ni dans les services, ni au Quai d’Orsay, ni à Matignon – qui tranche les litiges éventuels – n’a estimé qu’une telle vente pouvait être dangereuse : elle a été approuvée par les autorités françaises. C’est une science inexacte, arbitraire. Pour Nexa, la commission interministérielle des biens à double usage (Cibdu), qui délibère secrètement sur ces exportations, n’avait pas souhaité rendre d’avis sur la fourniture de technologies de surveillance à l’Egypte, apposant un tampon « non soumis » sur le bordereau. Impossible d’en savoir plus : toutes les informations relatives à ces ventes sont classifiées.

Une fois le feu vert obtenu, Ercom expédie de l’autre côté de la Méditerranée un binôme aussi inséparable qu’un couple de perruches : Vortex et Cortex. Des sondes – Vortex – sont déployées au niveau de nœuds régionaux, comme des bretelles sur un terminal téléphonique ; une interface centrale – Cortex –, permet de stocker les données collectées et d’y effectuer des recherches. « Le système de base permet d’intercepter tous les appels et les SMS, précise une source interne qui préfère garder l’anonymat par peur de représailles. Vous pouvez ajouter des modules optionnels, comme des sondes IP, qui reniflent le trafic Internet, ou des IMSI-catchers, baptisés Air Cube ».

Pour optimiser encore un peu plus les performances, le dispositif s’adosse à des briques logicielles externes. Et le savoir-faire est parfois hexagonal. Au moins jusqu’en 2012, dans plusieurs pays, Ercom s’est appuyé sur la technologie de Qosmos, une autre entreprise française inquiétée par la justice pour avoir aidé la Syrie de Bachar el-Assad à surveiller ses internautes. Spécialisée dans le « deep packet inspection », qui permet – comme son nom l’indique – de capturer et d’analyser en profondeur les données qui circulent sur le réseau, Qosmos n’a pas voulu confirmer ni infirmer la présence de son matériel en Egypte.« Je suis pas en mesure de répondre à vos demandes, compte tenu du secret attaché aux relations commerciales de la société », nous a fait savoir la société par le biais de son avocat, maître Chabert. Aujourd’hui, comme l’attestent des documents internes, Ercom collabore avec Napatech, une entreprise danoise spécialisée elle aussi dans l’analyse de flux… et partenaire de Qosmos.

Opérationnels depuis la fin de l’année 2016, Cortex et Vortex ont été déployés avec la participation d’Engie Ineo, une filiale de l’ancien groupe GDF-Suez, qui a sorti le matériel des cartons et réalisé le câblage. Rien d’étonnant : depuis le début de l’année 2015, Engie Ineo est actionnaire d’Ercom à 19,94 %. Au Caire, Cortex cohabite avec Cerebro, le système vendu par son rival Nexa. Etrange ironie sémantique. Les deux joujous tricolores sont installés sur une base militaire du quartier de Nasr City, à 10 kilomètres de l’aéroport, près d’un vaste centre commercial et d’un hôtel Intercontinental, à la piscine coiffée d’une fausse pyramide. « Quand il saisit les informations dans Cortex, l’opérateur peut ajouter des renseignements complémentaires, poursuit notre source. De cette manière, il peut remonter d’un numéro de téléphone vers une plaque minéralogique, ou d’un compte Facebook vers un individu. Et avec les antennes on peut géolocaliser quelqu’un à n’importe quel moment. »

Particulièrement intrusif, le programme d’Ercom possède pas moins de 898 fonctions, qui matérialisent les rêves d’omniscience : « Afficher le détail de l’ensemble des relations d’un nœud dans une grille de données » ; « Afficher les numéros appelants les plus actifs » ; « Afficher les numéros appelés les plus actifs » ; « Afficher les localisations les plus fréquentes » ; « Afficher la distribution des communications dans le temps » ; « Gérer différents formats de SMS » ; « Appliquer un critère de recherche relatif à une zone géographique sélectionnée sur la carte. ». Et ainsi de suite.

Nous avons tenté de joindre la direction de Suneris pour en savoir plus. En retour, elle nous a adressé un mail lapidaire, invoquant le secret pour botter en touche : « Nous avons pris connaissance de l’intérêt que vous manifestez autour des solutions de notre société. L’ensemble de nos contrats sont soumis à une confidentialité absolue. Nous ne commenterons donc d’aucune façon les éléments que vous pourriez avoir en votre possession. »

Surveillance électronique. Illustration : Gianpaolo Pagni pour Télérama

Le renseignement militaire tout-puissant

Entre les mains des forces de sécurité égyptiennes, Cortex et Vortex sont des armes redoutables pour museler les voix dissidentes. Alors qu’il brigue un nouveau mandat ce 26 mars, le président Sissi continue d’inquiéter les ONG en éliminant méthodiquement toute forme d’opposition. Selon le rapport annuel d’Amnesty International, « les autorités ont soumis des centaines de personnes à la torture, à d’autres mauvais traitements et à des disparitions forcées, et de nombreuses exécutions extrajudiciaires ont été commises en toute impunité ». A cette litanie d’abus, il faut ajouter les manifestations – interdites – réprimées dans le sang, et les 40 000 à 60 000 prisonniers politiques qui croupissent dans les geôles du pays.

Au nom de la lutte contre le terrorisme, le régime a généralisé les procès arbitraires, criminalisé les organisations de défense des droits humains, harcelé la communauté LGBT et bloqué plus de quatre cents sites Internet, dont plusieurs journaux indépendants. Le moindre germe de sédition posté sur les réseaux sociaux est sévèrement réprimé. En avril 2017, un avocat, Mohamed Ramadan, a été condamné à dix ans de prison pour avoir insulté Sissi sur son compte Facebook. Sept ans après la révolution, le retour de manivelle est brutal. « Depuis 2011, l’armée ne cesse de s’émanciper du pouvoir civil, diagnostique Claire Talon, chercheuse au think tank Arab Reform Initiative. Après la chute de Moubarak, on espérait une réforme des services de sécurité. Mais le premier acte fort de Sissi a été de les reformer et de les renforcer. » Traumatisés par le printemps arabe, les voilà remis en selle.

Dans un rapport à paraître, la Fédération internationale des droits de l’homme relève « le rôle croissant joué par les Renseignements militaires dans la surveillance des civils, que ce soit à travers l’achat de technologies de surveillance extrêmement intrusives, l’investissement de fonds militaires dans le secteur des technologie de sécurité [...] ou encore l’implication des renseignements militaires dans des procédures d’enquête contre des civils et la collecte de données individuelles ». Logique : Sissi les a dirigés de 2010 à 2012. Aujourd’hui, ce sont eux qui bénéficient des technologies de pointe, en partie fournies par des entreprises hexagonales. En outre, les grandes oreilles de l’armée ne se contentent pas d’espionner des ordinateurs ou de perquisitionner des domiciles : d’après Human Rights Watch, d’octobre 2014 à septembre 2017, 15 500 civils auraient été traduits devant des tribunaux militaires. Une répression en circuit fermé.

“On ne vend pas ses bijoux de famille au premier potentat venu.” Un ancien cadre du renseignement

A trois reprises depuis 2013, l’Union européenne a pourtant recommandé la suspension des exportations d’équipements de surveillance vers l’Egypte, « si des éléments attestent qu’ils seront utilisés pour commettre des violations des droits de l’homme ». Officiellement, la France est volontaire. Au service des biens à double usage, qui dépend du ministère de l’Economie, on rappelle que « le règlement européen est en révision [il n’a pas changé depuis 2009, ndlr] », que « la vente de technologies de cybersurveillance est l’un des axes de la refonte », et que « la gestion du risque doit être calquée sur celle des risques environnementaux ». Pour éviter un accident Seveso du numérique ? Fin janvier, Paris a signé un document proposant d’encadrer plus strictement le commerce des spywares, les logiciels espions. A Bercy, pourtant, on assure que le chemin est encore long. « On manque d’armes juridiques sur le sujet, il y a un problème de définition, tiquait récemment un membre de la Direction générale des entreprises lors d’un petit déjeuner informel. En France, on sait vendre des armes, alors c’est ce qu’on fait. »

C’est particulièrement vrai avec l’Egypte, allié stratégique dans la région. La France est devenue son premier partenaire commercial dans le domaine de la défense et depuis 2012, l’indéboulonnable Jean-Yves Le Drian s’est rendu pas moins de neuf fois au Caire. Obsédés par le risque houellebecquien de l’Islam politique, matérialisé par les Frères musulmans, certains diplomates du Quai d’Orsay misent sur la stabilité de Sissi. Il serait un moindre mal. Pour maintenir les bonnes relations, Emmanuel Macron lui-même veille à ne pas froisser son homologue. « Il ne s’agit pas de donner des leçons hors de tout contexte », avait-t-il déclaré en octobre dernier, lors de la visite du président égyptien.

Une anecdote suffit à éclairer le réalisme précautionneux des échanges entre les deux pays. Lors de leur entrevue à l’Elysée, Macron remet à Sissi une liste d’une vingtaine de noms d’activistes emprisonnés, concoctée avec l’aide de plusieurs ONG. Réponse lapidaire du maréchal : « Ce sont tous des terroristes. » Et le chef de l’Etat français de ranger pudiquement son bout de papier. François Croquette, ambassadeur pour les droits de l’homme, a été chargé de suivre le dossier, et quelques prisonniers ont depuis été libérés. Mais la position de la France est schizophrène : d’une main, elle voudrait tempérer les pulsions martiales du dictateur Sissi ; de l’autre, elle l’arme.

Car l’exportation de technologies de surveillance françaises n’est pas un bug, c’est une fonctionnalité, le reflet d’une volonté politique, d’une politique industrielle. « Tout le monde veut vendre à Sissi, de Thales à Airbus », assure un professionnel du secteur. Fin janvier, Bernard Emié, le patron de la DGSE, rencontrait Sissi pour évoquer la coopération entre la France et l’Egypte. Le président égyptien en a-t-il profité pour passer une nouvelle commande ? « Ce n’est pas parce qu’on est un service qui opère dans la clandestinité qu’on peut faire n’importe quoi, estime un ancien cadre du renseignement extérieur, sévère avec la bienveillance française. On ne vend pas ses bijoux de famille au premier potentat venu. Quand vous exportez un système d’écoute vers l’Allemagne ou la Suède, il n’y a pas de problème. Avec certains pays d’Afrique ou du Moyen-Orient, c’est compliqué. Jamais je n’aurais approuvé une vente à l’Egypte. » Ses successeurs en ont décidé autrement.