Temps de lecture: 9 min

En 2004, un informateur attirait l'attention du BND (l'équivalent allemand de la DGSE) au sujet d'une entreprise américaine qui cherchait à vendre à tout prix à de nombreux clients allemands, administrations publiques et sociétés privées ayant pour point commun de travailler sur des sujets sensibles, un système de surveillance particulièrement sophistiqué.

Sa stratégie marketing ciblait prioritairement des agences de sécurité et ministères (et tout particulièrement celui des Affaires étrangères), les marchés de la défense et du high tech, et des entreprises en concurence directe avec des sociétés américaines... tout en tentant de camoufler ses origines américaines, en passant par des revendeurs allemands dotés de solides carnets d'adresse dans ces milieux sensibles. Et tout en commercialisant son système de surveillance pour un prix largement inférieur à sa valeur.

Doté de caméras de vidéosurveillance, de microphones et d'autres capteurs, conçu pour permettre de vidéosurveiller et d'écouter, à distance, ce qui se passe dans la pièce où il est installé, et même de sentir les changements de température et d'humidité, le système de surveillance était «presque aussi sensible que l'homme: il pouvait voir, entendre, sentir», comme le résuma Der Spiegel qui, en décembre 2014, avait pu consulter la note classifiée de 4 pages du BND que le service de renseignement allemand avait alors soumis à la chancellerie fédérale, lors d'un rendez-vous tenu le 8 février 2005.

Mais ce qui stupéfia le plus les spécialistes de l'unité 26E du BND, le laboratoire en charge du «soutien opérationnel et technique d'écoute», fut de découvrir que le système de surveillance était aussi doté d'un certain nombre de fonctionnalités cachées, activables à distance. La puissance de calcul déployée allait ainsi bien au-delà des besoins requis par les fonctionnalités documentées.

En y regardant de plus près, ils découvrirent qu'il était par exemple doté d'un système d'analyse d'images comparative déclenchant automatiquement la caméra de vidéosurveillance dès qu'une personne entrait dans la pièce surveillée. Mais également que le système pouvait être activé, à distance, quand bien même son utilisateur final avait éteint le détecteur de mouvement, ou qu'il ne l'avait pas installé. Et, enfin, que le système se connectait à internet, via une «porte dérobée» (backdoor, en VO, ou cheval de Troie) pour renvoyer des informations à une adresse IP attribuée à l'armée américaine.

Le silence du BND et de la Chancellerie

Der Spiegel ne précisait pas les mesures prises, à l'époque, par la Chancellerie allemande suite à cette découverte, se bornant à noter que la note du BND rappelait que «les services de renseignement américains déploient depuis des décennies des fonctionnalités cachées dans des produits informatiques aux fins d'extractions d'informations».

Der Spiegel ne mentionnait pas non plus le nom du fabriquant, ni celui du produit. «Fakt», le magazine politique de la première chaîne de télévision publique allemande, a révélé ce mardi 27 septembre que l'affaire a depuis rebondi, après que le parquet fédéral s'en est saisi en 2015, et que la note du BND comportait plusieurs autres révélations.

«Fakt» révèle ainsi que le BND n'avait étrangement pas pris soin, à l'époque, d'alerter le contre-espionnage allemand. D'une part de peur des «répercussions politiques» qu'aurait pu entraîner la révélation que le renseignement américain cherchait ainsi à espionner l'Allemagne. D'autre part, au vu du risque que cela pourrait miner la «coopération» entre les services de renseignement américains et allemands. Les «révélations» Snowden ont, depuis, confirmé l'ampleur de la coopération entre le BND et la NSA, qui l'a considérablement aidé à accroître ses propres systèmes de surveillance des télécommunications.

Interrogée par «Fakt», Martina Renner, députée Die Linke (gauche) membre de la Commission d'enquête parlementaire sur les activités de la NSA, estime que le BND aurait du contacter l'Office fédéral de protection de la constitutione (BfV), en charge du contre-espionnage, afin de «vérifier si cette technique était utilisée dans des ministères, ou dans des zones critiques de l'industrie, et d'éventuellement déposer des plaintes pénales».

«Fakt» révèle par ailleurs que l'entreprise américaine cherchait aussi, à l'époque, à être rachetée par une entreprise allemande, afin de pouvoir plus et mieux camoufler ses origines américaines, et d'espérer pouvoir ainsi vendre plus facilement son système de surveillance espion à des entreprises et administrations perçues comme critiques et sensibles.

Et, enfin, qu'elle fut finalement revendue, en 2006, à une entreprise... française: Schneider Electric, un des poids lourds du CAC 40.

Le «leader industriel» des solutions de surveillance IP

Créée en 1999 à Austin, Texas, NetBotz, l'entreprise US qui a conçu ce système de surveillance et dont «Fakt» vient de révéler l'identité, ne ciblait pas le «grand public», mais les salles informatiques et, plus précisément, les datacenters, où transitent et sont stockées les données informatiques les plus sensibles des entreprises et administrations.

À l'époque, elle se présentait comme «le leader industriel» des solutions de surveillance IP (via Internet) des «actifs critiques» en matière de «dommages environnementaux tels que des températures extrêmes et l'humidité, l'erreur humaine et le sabotage... et pratiquement toutes les autres menaces, des pics de puissance électrique aux matériaux radioactifs et chimiques» (sic).

En l'an 2000, 01net expliquait que ses capteurs étaient capables de«mesurer les variations de température, le taux d'humidité, le niveau de bruit, détecter d'éventuelles émissions de fumée ou renseigner sur l'état de la ventilation» mais aussi de «surveiller les allées et venues du personnel» et, «en cas d'anomalie ou de perturbation», d'envoyer un SMS puis «un courrier électronique de confirmation à un administrateur désigné».

L'article précisait aussi que «la définition des seuils d'alerte, de même que les comptes-rendus d'activité sont accessibles à partir d'une interface web», mais également que «Netbotz n'a, à notre connaissance, aucun concurrent direct, surtout si l'on tient compte du format et de la gamme de prix».

Your total monitoring solution Capture d'écran du site de NetBotz, en 2002

En octobre 2005, NetBotz était racheté par APC (American Power Conversion), le numéro un mondial des onduleurs qui, contre 31 millions de dollars en «cash», s’offrait «un portefeuille de plus de 2.700 organisations dans le monde». Une de ses plaquettes promotionnelles vantait, à l'époque, le fait que «des dizaines de dizaines d'agences et organisations gouvernementales dépendent de NetBotz», dont la Réserve fédérale (la banque centrale américaine), Langley (où siège la CIA), le TSA (l'agence de sécurité dans les transports créée après les événements du 11 septembre 2001) ou encore la... NSA.

APC réalisait alors «52% de son chiffre d’affaires aux États-Unis, 30% en Europe et 18% en Asie», et présentait sa division NetBotz comme commercialisant des «produits de gestion des menaces physiques pour locaux sensibles», contribuant à aider les entreprises à «accroître la disponibilité et la fiabilité de leurs systèmes informatiques» (sic). Fin octobre 2006, le conseil d'administration d'APC approuvait l'acquisition du total de son capital par le groupe Schneider Electric, «pour un montant total d’environ 6,1 milliards de dollars».

Issu d'une dynastie de maîtres de forge mosellans, devenue marchand d'armes puis convertie à la gestion de l'électricité suite à la première guerre mondiale, Schneider Electric se présente aujourd'hui comme un «leader mondial dans le domaine de l’efficacité énergétique», coté au CAC 40 et revendiquant un chiffre d'affaires de près de 25 milliards d'euros (contre 11,7 milliards d’euros, à l'époque du rachat de NetBotz via APC).

En 2007, une brochure de présentation de NetBotz, estampillée APC et Schneider Electric, répertoriait, au nombre de ses clients, Booz Allen Hamilton (l'ex employeur d'Edward Snowden), les telcos ATT, Sprint, Time Warner Cable et Verizon, ainsi que la NASA, l'US Army mais aussi, et encore... la NSA.

L'«exemple le plus glamour»...

Contactés vendredi dernier pour savoir s'ils avaient eu vent de la découverte du BND, et s'ils avaient audité le code source de NetBotz, le ministère de l'Intérieur (en charge du contre-espionnage, via la DGSI) et la DGSE n'ont pas souhaité se prononcer.

L'Agence nationale de la sécurité des systèmes d’information (ANSSI), en charge de la «cyberdéfense», en France, nous a répondu que NetBotz ne faisait pas partie des logiciels et «produits» qu'elle devait qualifier mais que, s'il était utilisé par des Opérateurs d'importance vitale (OIV –dont la liste est tenue secrète), elle pourrait faire une demande d'audit.

Schneider Electric, de son côté, nous a confirmé que sa division APC était toujours «leader» dans son secteur d'activité, sans pour autant se prononcer plus avant sur le nombre ni la qualité des clients de NetBotz, tout en précisant que «Schneider Electric n'a pas été sollicitée par les autorités sur ce sujet», que «NetBotz n'appartenait pas à Schneider Electric à l'époque des faits supposés», et qu'elle ne ferait «aucun autre commentaire» à ce sujet.

Impossible donc, en l'état, de savoir si, à l'époque du rachat ou depuis, NetBotz avait fait l'objet d'un audit de sécurité, non plus que de savoir ce que Schneider envisagerait de faire pour s'assurer que ses clients ne puissent plus être espionnés... sachant par ailleurs que, NetBotz et APC étant toujours des compagnies américaines, elles étaient et restent donc susceptibles de devoir coopérer avec les services de renseignement américains.

La liste des clients et utilisateurs de NetBotz n'est pas publique. Tout juste sait-on qu'il est utilisé (notamment) par de nombreuses universités américaines, coréennes ou mexicaines, Outscale, une émanation de Dassault Systèmes qui voulait détrôner IBM et Microsoft dans le «cloud souverain», Cofiroute ou encore le gouvernement thailandais.

En l'état, il ne nous a donc pas non plus été possible de savoir si la «porte dérobée», installée par le renseignement américain et qu'avait découverte le BND en 2005, serait toujours activable à distance.

Plus de questions, que de réponses

L'enquête de «Fakt» n'en révèle pas moins que le contre-espionnage allemand n'a été informé de cette opération d'espionnage qu'en 2015, après que le parquet fédéral s'y est intéressé. Ce qui fait bondir Konstantin von Notz, député vert et président de la commission d'enquête du Bundestag sur la NSA:

«Si le BND n'a pas alerté les Français, cela veut dire qu'il a délibérément laissé un partenaire proche dans l'ignorance, ce qui soulève quelques questions en ce qui concerne la relation de confiance entre la France et l'Allemagne en termes de coopération en matière de renseignement.»

En 2015, APC était présentée, dans les résultats financiers de Schneider electric, comme sa «principale marque commerciale», et qualifiée par son PDG, Jean-Pascal Tricoire, de «l'exemple le plus glamour de ce que nous sommes en mesure de faire lorsque nous sommes très synergique»...

En l'espèce, rien ne dit que le «porte dérobée» de NetBotz ne permettrait pas à APC de continuer à servir de «cheval de Troie», au profit du renseignement américain. Pire: ces dernières mois, on a vu se multiplier les «preuves de concept» (POC, ou «démonstrations de faisabilité») révélant qu'il était possible de surveiller voire d'espionner des ordinateurs, même et y compris lorsqu'ils ne sont pas connectés à internet, en analysant les sons ou vibrations qu'ils émettent, les clignotements de leds ou variations de vitesses de leurs ventilateurs, par exemples...

Les révélations de «Fakt» posent plus de questions qu'elles n'apportent de réponses: les dirigeants d'APC étaient-ils au courant de l'existence de cette «porte dérobée» lors du rachat de NetBotz, et de sa revente à schneider Electric? Le «cheval de Troie» est-il encore activable, à distance? Si oui, a-t-il été mis à jour, doté de nouvelles fonctionnalités, de sorte de pouvoir capter bien plus de données, même et y compris au sujet d'ordinateurs «isolés» de tout réseau informatique («air gap», en VO)?

Reste donc aussi à savoir ce pourquoi le BND ni la Chancellerie n'avaient pas alerté le contre-espionnage allemand, alors même que l'Allemagne était visée par cette opération d'espionnage, ce pourquoi ils n'auraient pas non plus alerté les autorités françaises, alors que Schneider Electric racheta peu après le système de surveillance qu'elle avait identifié comme étant un «logiciel espion» américain.

Reste, enfin, à savoir si le BND n'aurait pas profité de sa «découverte» pour pouvoir, lui aussi, espionner les clients et utilisateurs de NetBotz, profitant de la «porte dérobée» mise en place par le renseignement américain...