En mai 2015, l’Obs et son photographe étaient autorisés à visiter les sous-sols des Invalides et à photographier le datacenter du Groupement interministériel de contrôle (GIC), l’organisme dépendant de Matignon chargé de procéder aux «interceptions de sécurité», à savoir les écoutes téléphoniques effectuées à la demande des services de renseignement. Sur l’une des photos, on peut distinguer un petit logo rouge siglé APC, pour American Power Conversion, le «leader mondial de l’alimentation informatique sécurisée».

APC, rachetée en 2007 par le français Schneider Electric, commercialise notamment Netbotz, un système de vidéosurveillance via Internet des datacenters. Or fin septembre, Fakt, le magazine politique de la première chaîne de télévision publique allemande, a révélé qu’en 2005, le BND – l’équivalent allemand de la DGSE – avait découvert que Netbotz était doté d’une backdoor, une «porte dérobée», permettant d’activer à distance des fonctionnalités cachées. Et qu’il se connectait à une adresse IP attribuée à l’armée américaine…

Pénétrer les marchés «sensibles»

Doté de microphones et autres capteurs, Netbotz, sous-titré «Your Total Monitoring Solution» («Votre solution de surveillance totale»), était «presque aussi sensible que l’homme : il pouvait voir, entendre, sentir» les changements de température ou d’humidité, «surveiller les allées et venues du personnel» et, «en cas d’anomalie ou de perturbation», envoyer un SMS puis «un courrier électronique de confirmation à un administrateur désigné». Mais le BND découvrit qu’en sus de ces fonctionnalités documentées, Netbotz était aussi pourvu d’un système d’analyse d’images comparative déclenchant, à distance, la caméra de vidéosurveillance lorsqu’un individu entrait dans son champ de vision, quand bien même le détecteur de mouvement était éteint ou n’avait pas été activé… Le renseignement extérieur allemand soulignait également qu’APC n’hésitait pas à «casser» les prix pour équiper les datacenters du ministère des Affaires étrangères, et ceux d’entreprises des secteurs de la défense ou de la high tech. Et que l’Américain cherchait alors à revendre NetBotz à une entreprise allemande, histoire de pouvoir pénétrer plus facilement ces marchés «sensibles».

Alertée par une note du BND, la chancellerie allemande ne prit pas soin, à l’époque, de prévenir le contre-espionnage, de peur des «répercussion politiques» et pour ne pas miner la «coopération» avec les services de renseignement américains. Deux ans plus tard, Schneider Electric rachetait APC, et donc Netbotz. En décembre 2014, l’existence de la note du BND était révélée par l’hebdomadaire Der Spiegel, sans mention d’APC ni de Schneider. Depuis, Fakt a pu la corroborer. Contactée fin septembre à l’occasion de la diffusion du reportage de Fakt, Schneider Electric a expliqué à Slate qu’elle «n’avait pas été sollicitée par les autorités à ce sujet», et qu’elle ne ferait «aucun autre commentaire». De fait, plus de deux mois après, Schneider n’a toujours pas communiqué à propos de Netbotz, laissant ses clients dans l’expectative.

Des clients toujours pas contactés

Ce mardi soir, Fakt diffuse un second reportage, qui lève le voile sur l'identité de plusieurs clients allemands de Netbotz. Lesquels, depuis la première enquête, n'ont toujours pas été contactés par Schneider, comme l’éditeur d’antivirus Avira. Deux d’entre eux, la Deutsche Bank et Volkswagen, font par ailleurs l’objet d’investigations de la part des autorités américaines, depuis des années. Et ce, alors même que le siège social d’APC est toujours situé aux Etats-Unis, et que ses salariés sont tenus de collaborer avec les autorités américaines.

Contacté par Libération, Schneider Electric avance aujourd’hui avoir effectué un «audit interne», et n’avoir découvert «aucune preuve» de l’existence d’une «porte dérobée», non plus qu’aucun élément indiquant que des données auraient pu être transmises à des tierces parties, «y compris des services de renseignement». L’entreprise ne fera «aucun autre commentaire». Quant au Secrétariat général de la défense et de la sécurité nationale (SGDSN) et à l’Agence nationale de la sécurité des systèmes d’information (Anssi), interrogés pour savoir ce qu’ils ont entrepris pour s’assurer que les utilisateurs français de Netbotz en général – et le datacenter du GIC en particulier, même si l’on peine à imaginer que ce dernier soit relié à Internet – ne risquaient pas d’être espionnés, ils nous ont tous deux renvoyés vers Matignon.

«Totalement couvert» par le secret défense

Après nous avoir expliqué que toutes les technologies utilisées par le GIC sont classées secret défense, le cabinet du Premier ministre nous a finalement répondu que «le sujet est totalement couvert par le secret de la défense nationale», et qu’il ne peut donc pas nous en dire plus. Quitte à interdire, de facto, à l’Anssi de pouvoir corroborer l’«audit interne» de Schneider Electric.

Cotée au CAC 40, l’entreprise présentait l’an passé APC comme sa «principale marque commerciale». Son PDG, Jean-Pascal Tricoire, allait même jusqu’à la qualifier d’«exemple le plus glamour de ce que nous sommes en mesure de faire lorsque nous sommes très synergiques». Une romance qui tourne au mauvais polar, sans que l’on puisse vraiment savoir si la mariée s’est rangée des voitures, ou si elle serait encore une barbouze…