Hier matin, alors que nous buvions le premier d’une longue série de cafés dominicaux, nous reçûmes une alerte du système top-secret du Service du Chiffre de Reflets, qui attirait notre attention sur un article du vénérable New York Times. L’article dresse un état des lieux sur le mode opératoire des auteurs des dramatiques attentats de Paris. Dates, lieux, noms, faits, témoignages, c’est dense, très complet, et pour cause : les journalistes du NYT ont eu accès à une copie du rapport de 55 pages transmis par l’antiterrorisme à la Place Beauvau, ainsi qu’à nombre d’autres documents et témoignages.

Quelques passages nous ont pourtant laissé perplexes, pour ne pas dire embarrassés, et nous ont fait instantanément penser à un autre article du NYT et des mêmes auteurs, daté de novembre dernier. Cet autre texte, très documenté lui aussi, contenait pourtant un passage qui nous avait déjà un peu fait tiquer sur le plan technique.

Dans l’article de novembre, le NYT nous apprenait qu’Abaaoud, l’un des terroristes, utilisait les « technologies de chiffrement ». Plus loin, on comprenait ce qui était entendu par là, et l’on pouvait lire qu’Abaaoud avait fourni à Hame, un jeune français parti en Syrie et entendu par les autorités à son retour, des « logiciels de chiffrement » :

Mr. Abaaoud avait demandé à Mr. Hame de frapper une cible facile, où il pourrait cause un « maximum de victimes ». Il avait donné à Mr. Hame une adresse email pour le joindre et une clé USB contenant une clé de chiffrement qu’Hame devait télécharger sur son ordinateur. Mr. Abaaoud avait promis davantage d’instructions sur le lieu où se procurer des armes pour l’attaque et sur la salle de concert à frapper.

C’est assez probablement le système de chiffrement PGP, communément utilisé pour sécuriser les communications par email, qui est ici évoqué. Or, si l’on sait comment fonctionne la cryptographie hybride, notamment sa composante asymétrique, pour que les « instructions » puissent circuler dans le sens Abaaoud – Hame, c’est Hame qui aurait dû remettre une clé à Abaaoud (sa clé publique, en l’occurrence), et pas l’inverse. Les informations contenues dans ce paragraphe sont très probablement vraies, si on les envisage indépendamment les unes des autres. Mais la narration est organisée de manière à ce que le chiffrement soit perçu comme le moyen essentiel pour la planification des attentats.

Le plus récent des deux articles reprend le témoignage de l’une des malheureuses victimes prises en otage dans le Bataclan :

L’un des terroristes sortit un ordinateur portable, le plaçant, ouvert, contre un mur, a déclaré la femme âgée de 40 ans. Quand l’ordinateur s’est allumé, elle a vu une ligne de charabia sur l’écran : « c’était bizarre – il était en train de regarder plein de lignes, comme des lignes de code. Il n’y avait pas d’image, pas d’Internet, » a-t-elle dit.

Il n’y a bien sûr aucune raison de douter du témoignage de cette personne, mais qu’a-t-elle vu au juste ? D’après la description, il pourrait s’agir de n’importe quel logiciel produisant une sortie dans un terminal texte, ce qui a souvent tendance à impressionner ceux qui n’ont jamais évolué en dehors d’un environnement graphique. Les fameuses lignes de code étant apparues, d’après elle, juste au moment du démarrage de l’ordinateur, la plus évidente des conclusions est qu’il s’agisse des éléments affichés par la séquence d’initialisation de son système d’exploitation.

Le NYT conclut pourtant que cette description « correspond à l’apparence d’un logiciel de chiffrement particulier, que l’EI a revendiqué avoir utilisé durant les attentats de Paris », en faisant probablement allusion à une macabre vidéo diffusée par l’organisation en janvier, dans laquelle figurait une utilisation fictive de PGP. Même si l’on admet que c’était bien un message PGP qui était affiché sur l’écran de l’ordinateur du terroriste, quel intérêt ce dernier aurait-il eu à lire un message sous sa forme chiffrée, par définition illisible ?

Un autre passage est bien plus étonnant :

Selon le rapport de police et des interviews avec des officiels, aucun email ni aucune communication électronique des attaquants n’ont été trouvés, ce qui incite les autorités à conclure que le groupe a utilisé le chiffrement. On ignore encore quel sorte de chiffrement […].

Les communications électroniques laissent toujours des traces. Les échanges, même lorsque le contenu est chiffré, et même en admettant que ces contenus soient consciencieusement supprimés après avoir été envoyés et reçus, requièrent la présence d’informations nécessaires à l’acheminement des messages. Par définition ces informations, des métadonnées, ne peuvent être chiffrées. Il n’y a pas des centaines de conclusions que l’on peut tirer de l’absence de ces traces : soit ces communications n’ont pas eu lieu, soit elles ont eu lieu via d’autres canaux. Comment peut-on déterminer la présence de quelque chose parce que l’on constate son absence ? Le raisonnement est proprement stupéfiant. Pour reprendre les mots de Christopher Soghoian de l’ACLU, « l’article du NYT sur les attentats de Paris a autant (sinon plus) de sens si vous remplacez « chiffrement » par « magie » ».

Il est très probable que des outils intégrant de la cryptographie soient utilisés par certains membres ou sympathisants de Daech : passons à autre chose, on ne peut pas plus les en priver que l’on ne peut les empêcher d’utiliser le théorème de Pythagore. De la part d’un journal aussi respecté que le New York Times, on est en revanche en droit de s’étonner de tels biais de confirmation dès lors qu’il est question de chiffrement.

Comment ? Il ne faudrait pas tout faire pour lutter contre les terroristes qui ont fauché autant de vies innocentes cette année en France ? Comment peut-on critiquer le Loi sur le renseignement, qui permettra d’écouter massivement les communications en France ? Elle fera ressortir l’aiguille de la meule de foin, permettra de déjouer des attentats ! L’état d’urgence ? Une nécessité. D’ailleurs, Manuel Valls le proclame alors que vient d’être arrêté Salah Abdeslam, »D’autres réseaux, d’autres cellules, d’autres individus, en France et en Europe, s’organisent pour préparer d’autres attentats. Nous devons être mobilisés« .

Oui, un ennemi nous a déclaré une guerre asymétrique. Oui, il y aura d’autres attentats et d’autres morts. La probabilité est extrêmement forte. Mais de là a valider toutes sortes de textes liberticides ? Nous avons la mémoire courte et c’est ce sur quoi misent des gens comme Manuel Valls ou Bernard Cazeneuve.

Le terrorisme n’est pas une nouveauté, une nouvelle donnée dans l’équation de nos vies. Pas même en France, pourtant épargnée par rapport à d’autres pays.

Certains n’étaient pas nés, mais l’OAS a fait pas loin de 2000 victimes. Disposions-nous des « boites noires », des systèmes d’écoute sophistiqués, des IMSI catchers, pour lutter contre elle ? Cela a-t-il empêché la Démocratie de prendre le dessus ?

Le terrorisme n’a pas de bord politique ou idéologique. C’est une façon de combattre un pouvoir en place. Nous avons donc, en France, subi le terrorisme d’Action directe (extrême gauche), comme celui dela Cagoule, de l’OAS ou du Service d’Action civique (SAC) (extrême droite). Sur le plan idéologique, toujours sans état d’urgence, sans boites noires, sans IMSI catchers, l’Etat français a dû faire face à un terrorisme né des conflits israélo palestinien et libanais avec le groupe Abou Nidal, le Hezbollah, et Ilich Ramírez Sánchez, plus connu sous le nom de Carlos.

Surprise ? Ces terroristes ne sont plus actifs, une partie d’entre eux sont sous les verrous ou viennent de sortir de prison après de longues années de détention. Comment donc l’Etat a-t-il pu arrêter les auteurs d’attentats ou mettre fin aux actions des groupes sans disposer de l’état d’urgence, des boites noires, des IMSI catchers, de la déchéance de nationalité, de la Plate-forme nationale des interceptions judiciaires (PNIJ) ? C’est à se demander si les policiers de l’époque étaient des surhommes…

Avec quelles armes lutte-t-on contre le terrorisme ?

Manuel Valls, Bernard Cazeneuve ou François Hollande laissent entendre qu’il ne faut pas réfléchir ou tenter d’expliquer d’où vient le terrorisme qui nous frappe actuellement. C’est pratique. Cela permet de renforcer notre tendance à la mémoire courte, à oublier que le terrorisme ne date pas d’hier, qu’il nous a déjà frappés durement, en France ou à l’étranger (attentat du Drakkar par exemple).

En oubliant cela, on participe à la création d’un mythe. Celui du terrorisme le plus abject, un terrorisme nouveau, contre lequel il faudrait des armes « non conventionnelles », seule manière de l’éradiquer. « Nous gagnerons la guerre contre le terrorisme » a indiqué François Hollande. Tant mieux. Mais quelle guerre ? Avec quels moyens ? Avec des lois liberticides qui créent les conditions d’une dictature si Palpatine arrivait au pouvoir, comme le laisse entendre le bâtonnier de Paris, Frédéric Sicard, que l’on peut difficilement soupçonner d’être du côté des terroristes  ?

La Démocratie cesse-t-elle d’être la Démocratie lorsqu’elle utilise les mêmes armes que ceux qui veulent la détruire ?

Cette question théorique pour philosophes du Droit n’est plus aussi théorique qu’elle le semble.

Les années de plomb des deux mandats de George Bush et de celui de Barack Obama nous permettent de tirer les leçons de cette voie qui consisterait à accepter l’idée que tout est légitime pour lutter contre le terrorisme. Sur ce point, il n’est pas inutile de lire le travail du photographe Edmund Clark et du journaliste Crofton Black sur les prisons secrètes de la CIA… On peut aussi réfléchir à l’augmentation des morts par frappes de drones et la déconnexion totale d’une bonne partie d’entre eux avec des actions terroristes. On peut aussi réfléchir aux effets de la légalisation de la torture.

Manuel Valls, Bernard Cazeneuve, François Hollande… Pas en mon nom, je n’ai pas la mémoire courte.

Cher Thierry Breton, quelque chose a manifestement dysfonctionné au sein du service de communication d’Atos. Notre article n’a semble-t-il pas été glissé dans votre revue de presse quotidienne ce matin puisque vous n’avez pas pris contact avec nos experts en communication digitale numérique.

C’est dommage. Nous évoquions les problèmes qui pourraient se poser à Atos en termes d’image si l’instruction en cours contre Amesys (que vous avez rachetée via votre absorption de Bull) venait à faire Paf!. Bien entendu, pour ne pas lasser nos lecteurs, dont vous, nous n’avions pas fait une liste exhaustive des problèmes à venir. Nous aurions préféré échanger au calme avec votre service de communication.

Mais puisque vous ne nous avez pas encore contactés, nous souhaiterions vous exposer d’autres pistes d’inquiétude. Il est essentiel que vous puissiez parer à toute mise en cause de la part de mauvais coucheurs, de la presse ou même, qui sait, de la Justice. Imaginez qu’un jour, d’odieux droitsdel‘hommistes étendent les plaintes contre Amesys. Par exemple au rôle d’Amesys (et de la SSII Alten) dans l’installation d’un Eagle au Maroc, à Rabat ? Alten, comme Atos, pourrait être éclaboussée par une procédure judiciaire. On ne voudrait pas vous inquiéter mais sur ce point, les autres contrats d’Amesys, à part la Libye, il y a quand même moyen de voir les ventilateurs fonctionner à bloc.

Oui, parce que voyez-vous, un outil comme Eagle (aujourd’hui renommé Cerebro – haha, la bonne blague… Cerebro…), ça intéresse surtout des dictateurs. Il y a bien entendu des exceptions, mais généralement, les démocraties qui s’équipent, ne chassent pas l’opposant pour le torturer. Du coup, il y a plein de pays riants qui ont acheté du Eagle.

Parmi les clients, on trouve par exemple le SILAM, à Libreville, au Gabon, le State Security Bureau à Doha au Qatar.

Imaginez, Thierry Breton, que des journalistes mal intentionnés produisent les preuves des relations commerciales d’Amesys avec ces entités (SILAM, State Security Bureau, par exemple) si des plaintes étaient déposées pour le rôle d’Amesys dans ces pays. Bien sûr ce ne serait que menteries, toutes les personnes saines d’esprit sachant bien qu’il s’agit de la ventes de stylos et non pas de systèmes d’écoutes globales pouvant mener à des arrestations d’opposants politiques et à leur torture par les tonton Macoutes locaux (voir notre article précédent). Mais tout de même. Nous qui sommes spécialistes de tout ce qui est digital nous savons combien une rumeur de ce type peut vous atteindre… Profondément.

Au secours, ça part en vrille

Non franchement… Avoir racheté Bull et sa galaxie Amesys, avoir placé Philippe Vannier à un poste de responsabilité au sein d’Atos, c’était un pari dangereux. Bien entendu, vous pouviez espérer du business en plus avec Bull en tant que tel, mais la galaxie Amesys… Et conserver Philippe Vannier, lui qui avait déjà fait une culbute abracadabrantesque ? Il aurait pu se retirer et jouir paisiblement de la petite fortune réalisée. Non, vous l’avez gardé. Peut-être parce qu’il a ses entrées dans les services de renseignement, surtout extérieurs (la fameuse boite postale B.G.A.CG350/R, 14 rue Saint-Dominique), via la galaxie Amesys qui leur vend (notamment au travers d’Elexo), des tonnes de matériels d’écoute rigolos ? Qui sait.

Non, ce qui serait embêtant se serait que vous tombiez sur un juge rouge. Vous savez, ces petits pois, comme disait Nicolas Sarkozy, mais rouges. Pas verts. Ceux qui en veulent à la liberté d’entreprendre, ces socialo-communistes indomptables, qui font la sourde oreille lorsque le gouvernement leur demande de mettre la pédale douce.

Imaginez un juge de ce type qui commence à regarder de près la comptabilité d’Amesys et qui lui demande s’expliquer en détail sur les lignes du bilan.

Nous vous donnons un exemple comme ça, en passant, juste pour se faire une idée, celui du Festival mondial des arts nègres au Sénégal. En quoi consistaient exactement ces relations commerciales d’Amesys avec ce qui était à l’époque de notoriété publique un vaste outil de corruption au profit de la famille au pouvoir ?

Non, vraiment, Thierry Breton, vous avez besoin de nos conseils digitaux ! Appelez nous.

 

 

 

 

Reflets souhaite modestement s’inviter dans le débat malheureusement un peu confidentiel qui s’est engagé entre Atos et la Lettre A. Cette dernière a publié des articles critiquant le manque de protection des lanceurs d’alerte au sein d’Atos, tandis que la SSII répond a coups de communiqué que si, les lanceurs d’alerte sont une composante bien prise en compte et qu’ils sont protégés.

C’est beau.

Mais il faudrait aller plus loin pour être crédible dans la volonté de transparence, la volonté de faire « le bien » (façon Google) en faisant remonter à la surface les mauvaises pratiques, moralement, éthiquement, ou juridiquement contestables.

Reflets a donc réfléchi à un plan de communication ultime. Quelque chose qui pourrait asseoir Atos comme LA SSII ayant franchi le pas, celle qui montrerait la voie à toutes les autres entreprises françaises. Celle qui se placerait à tout jamais du côté des entreprises éthiques.

Nous sommes prêts à collaborer avec les équipes de communication d’Atos pour la mise en place de ce projet, y compris sur le terrain digital numérique où nous excellons. Le tout, gratuitement.

Voici les grandes lignes de ce que nous proposons.

Premier point, revoir un peu la position de Philippe Vannier, actuellement Directeur Exécutif, Big Data & Sécurité, Directeur de la Technologie du Groupe.

Oui, c’est un peu embêtant éthiquement parlant. Cela pourrait être reproché au groupe par de mauvais coucheurs.

Imaginez que ces mauvais coucheurs sont tout à fait capables de mal interpréter la lecture des articles de Libération et de France Inter sur Amesys, la boite fondée par Phillipe Vannier et désormais très précisément accusée d’avoir contribué à la torture d’opposants libyens par la vente d’un matériel permettant d’écouter toute la population de ce pays à Kadhafi. Bien entendu, tout cela était connu, surtout depuis la publication par le Wall Street Journal des images montrant les dossiers des opposants dans le centre d’écoute Amesys à Tripoli. Mais c’était un journal américain et donc assez lointain.

Ces mauvais coucheurs seraient capables de ne pas avaler l’explication pourtant tout à fait logique et réelle du stylo. Amesys n’a jamais vendu un système d’écoute globale de la population libyenne à un dictateur sanguinaire. Elle a vendu un stylo à un dirigeant international reçu en grandes pompes par la France de Nicolas Sarkozy. C’est très différent. Mais il y a toujours des complotistes qui cherchent la petite bête, interprètent de travers des informations pourtant tout à fait réelles, validées par le comité de direction avant publication du communiqué de presse officiel.

Prenons un exemple au hasard. Amesys a toujours clamé que son rôle était très clairement confiné à deux années : 2007/2008. Le contrat date de 2007 et le matériel a été livré en 2008. Point. Ce qui est évidemment vrai puisque cela a été écrit dans un communiqué de presse. Toutefois, les mauvais coucheurs risque de ressortir cette information forcément fausse publiée dans le Wall Street Journal selon laquelle le nom de Renaud Roques était affichée avec son numéro de téléphone, en cas de problème, sur les murs du centre d’écoutes à Tripoli. Ils en tireraient peut-être la conclusion tout à fait idiote que Renaud Roques et son équipe pouvaient continuer de superviser l’installation technique durant toutes ces années, jusqu’à la chute du régime. Et pourquoi pas après ? Complotistes…

Une autre fausse information pourrait être remontée à la surface… Ces complotistes pourraient imaginer que si, début janvier 2011, Amesys retirait des fonds en liquide (environ 3000 euros) pour ses menues dépenses en Libye, c’est que l’équipe, et peut-être même Philippe Vannier, se rendait sur place autour de cette date ?Manquerait plus qu’un journal gonzo aille publier les documents qui pseudo prouveraient ce retrait d’argent liquide avec une mention pour son usage…

Et si ça faisait Paf! ?

Non, franchement, monsieur Breton, tout cela est inquiétant. Si l’instruction menée par les juges du pôle spécialisé dans les crimes contre l’Humanité et les crimes de guerre au Tribunal de Paris venait à conclure qu’Amesys a bien contribué à torturer des gens en Libye, le scandale rejaillirait immanquablement sur Atos qui a déjà eu du mal avec son image de marque par le passé.

La presse, toujours mal intentionnée, pourrait vous reprocher d’avoir racheté Amesys, en rachetant Bull qui avait été acquis par Philippe Vannier et ses acolytes dans des conditions jugées par les mauvais coucheurs comme « rocambolesques ». Pire, elle pourrait vous demander pourquoi vous avez offert à Philippe Vannier un poste de Directeur Exécutif au sein d’Atos alors que l’entreprise qu’il avait fondée faisait l’objet d’interrogations assez ennuyeuses sur un plan éthique et moral.

Oui, si cette instruction faisait Paf!, vous pourriez vous retrouver embarqué par le scandale. Tout dépend bien entendu de la profondeur à laquelle iront creuser les juges. Iront-ils jusqu’à rechercher les responsabilités politiques, iront-ils chercher le rôle joué par Amesys et Qosmos dans le grand projet d’outil de surveillance globale inter-camp politique restant à finir d’installer en France ?

Iront-il rechercher la responsabilité éventuelle d’Amesys ou de Qosmos dans la torture de citoyens de pays riants comme le Maroc ou les Emirats Arabes Unis… et soyons fous, le Kazakhstan ? Iront-ils creuser la relation étrange entre Amesys, Qosmos et Al Fahad Smart Systems ? Tout cela serait fâcheux et irréfléchi de leur part. La vérité est ailleurs. Dans les communiqués de presse de Bull, Amesys, Qosmos et bientôt Atos.

Franchement, monsieur Breton, si nous pouvons vous éviter tous ces soucis d’image, nous le ferons sans sourciller et gratuitement. N’hésitez pas à demander à vos équipes de communication, lesquelles, nous l’espérons vous glisseront ce papier dans votre revue de presse quotidienne, de prendre contact avec nos experts en « communication digitale ».

Bien à vous,

Toute l’équipe de Reflets.

C’est un peu comme une rengaine que l’on doit resservir, dans son rôle de journaliste, crise après crise… Le secteur financier est un secteur économique à part. Il fabrique des crises à intervalle régulier, chaque fois plus grave. Et lorsque la crise survient, il lance son incantation de magie vaudou pour éviter des faillites en chaîne : il se rapproche des pouvoirs publics et dit « risque systémique ». Cela suffit pour obtenir les fonds nécessaires pour éponger la crise. Quel gouvernement voudrait voir tout son secteur bancaire s’écrouler comme une suite de dominos ? Le secteur est passé maître dans l’art de privatiser les bénéfices et de nationaliser les pertes. Le payeur en dernier ressort étant, à chaque fois, le contribuable, c’est à dire la première victime de la crise déclenchée par le secteur. Ce qui intrigue un peu tout le monde depuis la dernière crise en date, c’est que personne n’a été traîné devant un tribunal alors que la fraude organisée autour des subprime est désormais avérée. Et pourtant… C’est assez simple à comprendre. Le secteur financier règles ses petites affaires en famille, évite les condamnations judiciaires autant que faire se peut car il a son incantation magique (risque systémique) et que les dirigeants de ce secteur sont éminemment utiles aux pouvoirs publics qui ne veulent pas les « effrayer » (c’est mauvais pour la croissance). De récentes publications (voir les documents dans une DropBox) aux Etats-Unis offrent un éclairage très intéressant sur ce sujet.

Peu après la crise financière déclenchée par le scandale des subprime, le Congrès américain a mis en place une commission chargée d’enquêter sur cet énorme merdier. La Financial Crisis Inquiry Commission n’avait pas de pouvoir d’enquête judiciaire, mais elle a entendu un nombre incalculable de personnes, épluché des tonnes de documents et produit des rapports cinglants. Elle a même transmis un certain nombre de dossiers (concernant entre autres Goldman Sachs, AIG, Merrill Lynch, Citigroup ou Fannie Mae) au Département de la Justice, sans qu’il ne se passe quoi que ce soit.

C’est pourri ? On s’en fout…

En plein délire des subprime, plusieurs entreprises du secteur financier ont fait appel à Clayton Holdings, chargeant cette société d’ausculter une très (trop?) faible partie les prêts qui étaient enveloppés dans des titres (les fameux subprime). Résultat sur le million de prêts examinés ? Quelque 30% ne tenaient pas la route. Qu’a fait Wall Street une fois alertée par Clayton Holdings ? Rien. Et surtout, ne pas prévenir les investisseurs. Tout a continué comme avant. Tant que ça rapporte…

C’est un principe, Wall Street et le secteur de la finance en règle générale, n’aiment pas trop la publicité. La réponse de JP Morgan à la FCIC lorsque celle-ci demande si elle peut publier les documents issus de ses entretiens avec des salariés de la firme américaine est en ce sens extrêmement parlante. Il ne faudrait pas que le contenu de ces entretiens puisse servir à qui aurait porté plainte contre la firme (si, si, c’est dit comme cela dans la réponse)…

Et pourtant, il y a pas mal de choses intéressantes dans ces entretiens, comme ici. Ou là. Ce dernier entretien a ceci d’intéressant qu’il met en lumière les aller-retours des financiers entre le secteur privé et le secteur public. On peut ainsi avoir été Chief Risk Officer à Bear Stearns qui a fait faillite avec le tsunami des subprime et être ensuite employé par la Federal Reserve Bank de New York… Même s’il s’agit de Réserve Fédérale de New York, il n’est pas inutile de perdre de vue que c’est la banque centrale américaine (Fed) dont la Fed de New York est membre, qui a initié le quantitative easing visant à … sauver les banques américaines de la faillite après la crise qu’elles avaient déclenché, en leur offrant des liquidités à très peu de frais. Etonnante porosité.

La plupart des banques américaines ont conclu des accords avec le gouvernement et payé des amendes plus ou moins importantes. Bien entendu, les défenseurs du secteurs notent qu’il y a une différence entre une activité illégale et une activité moralement répréhensible. On ne poursuit pas une activité moralement contestable. Il n’y a pas de textes de loi pour cela. Ce serait donc un défaut dans l’encadrement des activités financières qui expliquerait l’absence de poursuites. Mais il ne faut pas perdre de vue que si des accords ont été trouvés, c’est que des poursuites pouvaient être engagées. Il faut bien un levier. Les procès n’auraient peut-être pas été tous gagnés, mais il semble bien qu’il s’agisse en l’espèce d’un clair manque de volonté politique. Allez savoir pourquoi…