EXCLUSIF : Des sociétés allemandes vendent sans licence des technologies de surveillance à des régimes ennemis des droits humains

Image via Pixabay. Public Domain CC0

Image via Pixabay. Domaine public CC0

Cet article exclusif a été documenté par les chercheurs de pointe sur les technologies de surveillance et de sécurité numérique Ben Wagner et Claudio Guarnieri. Ces deux universitaires de Berlin travaillent pour le Centre pour Internet et les Droits Humains de l'Université Européenne Viadrina. 

Du Mexique au Mozambique et ailleurs, les preuves abondent aujourd'hui du recours par les gouvernements de toute la planète aux technologies de surveillance de masse comme FinFisher pour espionner leurs concitoyens. Cela a amené les chercheurs et défenseurs des droits comme nous à étudier la source : qui fabrique ces technologies ? et qui tire profit de leur vente ?

L'Allemagne est un important exportateur de ces technologies, et en même temps que la confidentialité des communications électroniques est devenue un sujet brûlant pour l'opinion allemande, le pays est un acteur de plus en plus central dans ce domaine.

En croisant les informations d'une fuite massive de données mi-août avec les résultats d'une récente enquête parlementaire en Allemagne, nous avons été amenés à soupçonner que la majeure partie des technologies de surveillance produites par des entreprises allemandes a été achetée et vendue au noir – autrement dit, sans autorisation. L'administration allemande exige des autorisations pour la vente de technologies considérées à “usage dual” – des produits qui peuvent servir au bien et au mal.

Au coeur de l'enquête se trouve la société anglo-allemande Gamma International, qui fabrique la désormais tristement célèbre boîte à outils de surveillance FinFisher. Les cibles de la surveillance ne se doutent de rien et téléchargent FinFisher sans s'en apercevoir, juste en cliquant sur un lien ou un fichier joint apparemment anodins. Une fois installé, l'outil donne à son utilisateur l’accès à toutes les informations en mémoire et contrôle même les communications cryptées. Les frappes au clavier peuvent être consignées, les conversations sur Skype enregistrées et les caméras et microphones activés à distance.

Une commission parlementaire allemande a récemment mené une enquête sur les ventes de technologies de surveillance aux gouvernements étrangers. Interrogé, le gouvernement allemand a indiqué avoir, dans les dix dernières années, donné à des sociétés allemandes des licences d'exportation de technologies de surveillance à au moins 25 pays, parmi lesquels beaucoup ont une longue histoire de violation des droits humains. Entre 2003 et 2013, les technologies de surveillance ont été exportées en Albanie, Arabie saoudite, Argentine, Chili, Emirats Arabes Unis, Inde, Indonésie, Qatar, Kosovo, Koweït, Liban, Malaisie, Maroc, Mexique, Norvège, Oman, Pakistan, Russie, Suisse, Singapour, Taïwan, Turquie, Turkménistan et USA. La députée des Verts allemands Agnieszka Brugger a publié sur son blog la totalité des questions et des réponses officielles du gouvernement.

Comment fonctionne le marché allemand à l'exportation ?

Les réponses fournies par le gouvernement sont complexes à interpréter, car les documents transmis couvrent tout système informatique incluant des “composantes” de technologie de surveillance. Ainsi, un sysytème national complet de téléphonie vendu pour un total de 10 millions de dollars peut inclure une composante de surveillance qui coûte 2 millions : le produit sera listé dans les documents publics avec une valeur à l'exportation de 10 millions incluant des technologies de surveillance autorisées.

Sur la base d'entretiens approfondis avec les fonctionnaires concernés, des individus du secteur privé et les multiples documents fuités disponibles, il est possible d'estimer avec une relative précision la proportion de ce qui y relève réellement des technologies de surveillance. Avec une évaluation a minima, 20 % environ de la totalité des systèmes informatiques livrés sur cette liste sont réellement des technologies de surveillance, le reste étant des systèmes informatiques et technologies génériques. Par exemple, en 2010 l'Allemagne a exporté pour 11.977.728 € de systèmes informatiques incluant des systèmes de surveillance. Nous estimons donc à seulement 2.395.546 € les exportations de technologie de surveillance, le reste étant des systèmes informatiques ou de télécommunications génériques.

Ces chiffres nous ont aussi permis de retracer sur le graphique suivant les exportations allemandes autorisées de technologies de surveillance de 2010 à 2013 :

German_Surveillance_Exports_v3_liTotal estimé en millions d'euros des exportations autorisées de surveillance de l'Allemagne 2010-2013.

Il faut noter que le gouvernement allemand a formellement démenti avoir reçu de la part de Gamma une demande de licence d'exportation de leur produit FinFisher vers Bahreïn ou l'Ethiopie. Les documents officiels allemands ne mentionnent pas non plus les exportations vers des pays comme le Bangladesh, les Pays-Bas, l'Estonie, l'Australie, la Mongolie, Bahreïn et le Nigeria, pourtant il y a d’amples preuves que FinFisher a été vendu à ces pays. (Des chercheurs en sécurité du Citizen Lab de l'Université de Toronto ont mené une grande série d'enquêtes techniques sur l'utilisation de produits FinFisher dans un large éventail de pays autoritaires ou démocratiques. Les archives exhaustives de ces rapports se trouve ici.)

Des documents dans l'amas des fuites FinFisher, et de l’analyse par Privacy International, il découle que Gamma a vendu ces technologies en l'absence de toute licence d'exportation. Cette affirmation repose sur de multiples documents retraçant la manière dont Gamma applique pour la technologie la récente assertion du gouvernement britannique qu'il obligerait juridiquement Gamma à obtenir une licence pour FinFisher si la société voulait l'exporter à partir du Royaume-Uni. Les informations existantes et les recherchent montrent que Gamma opère hors du Royaume-Uni et de l'Allemagne, ce qui suggère sans ambiguïté que ces technologies auraient été exportées d'Allemagne. L'Allemagne de son côté a nié à maintes reprises avoir délivré une licence à Gamma pour la vente à plusieurs pays importants où nous savons que FinFisher est déployé. Ce qui nous amène à la conclusion que FinFisher a été exporté d'Allemagne sans licence.

Qu'est-ce que cela signifie pour le commerce allemand des technologies de surveillance ? Les ventes de technologies de surveillance sous licence sont maigres comparées à celles des exportations non autorisées de FinFisher, sans parler des autres produits de surveillance. Gamma vend actuellement plus de technomolgies de surceillance que la totalité des exportations autorisées. Voici un aperçu comparé des exportations allemandes autorisées et non-autorisées dans la surveillance :

German_Surveillance_Exports_v3_li_unli

Valeur totale estimée en millions d'euros des exportations autorisées (en bleu) et non-autorisées (en rouge) de l'Allemagne, 2010-2013.

Et il ne s'agit que d'une seule société ; il y en a probablement d'autres en Allemagne qui poursuivent cette stratégie commerciale. Bien que le montant total des exportations allemandes non autorisées de surveillance soit difficile à calculer, on peut le considérer raisonnable, puisque des sources internes du leader mondial ISS World ont estimé la valeur mondiale du secteur entre 3 et 5 milliards de dollars. L'écart significatif entre les éléments autorisés et non autorisés de l'industrie des technologies de surveillance montre la nécessité et l'urgence d'une réglementation internationale transparente.

Qu'a fait jusqu'à présent le gouvernement allemand ?

Le gouvernement allemand a aussi déclaré qu'il va continuer à faire pression pour réglementer les technologies de surveillance qui nuisent aux droits humains, un développement positif qui reflète une prise de conscience de la gravité du problème. Ces dernières révélations, et le désir de certains partis d'en faire une question politique centrale, nous encouragent et nous donnent l'espoir d'autres réformes pour empêcher l'exportation de technologies encore plus dangereuses à des régimes répressifs. Des découvertes comme celles-ci nous montrent la nécessité d'une plus grande réglementation de ce secteur.

Et il y a des précédents : l'Allemagne a bloqué en 2008 l'exportation en Iran du ‘Système de Gestion d'Interception’, un logiciel analogue au système LIMS d'Utimaco. Plus récemment, les autorités ont suggéré que les entreprises cessent de vendre des technologies de surveillance à la Turquie.

Les données laissent aussi entendre que le marché mondial des technologies de surveillance est très dépendant des gros contrats avec un petit nombre de pays. Les réponses à l'enquête parlementaire ont montré que les plus gros marchés individuels de 2006 et 2007 ont été conclus avec l'Arabie saoudite et la Turquie. Il est malaisé d'établir avec précision de quelles exportations il s'agit dans ces contrats, qui cadrent avec l'actualisation de la surveillance d'Internet pour gérer les volumes accrus de données devenus communs vers 2005. La Tunisie a rencontré ce genre de problèmes en 2007, antérieurement à la révolution, et a opté pour l'installation de la technologie de surveillance Deep Packet Inspection pour faire face à des quantités croissantes de données.

Pour une réglementation de la surveillance dans le monde d'après-Snowden

La gauche allemande voit désormais dans la réglementation des technologies de surveillance une question politique importante valant qu'on se batte pour elle. Les Verts et les Sociaux-Démocrates du SPD se disputent l'appropriation du sujet, et c'est ce qui a semblé le moteur de la commission d'enquête parlementaire. La politisation de ce genre de questions n'est pas toujours utile, mais on observe avec intérêt la compétition entre partis politiques pour savoir lequel pourra le mieux réguler les technologies de surveillance dans le respect des droits humains.

Les documents fuités de FinFisher montrent que l'entreprise pense maintenant être déjà ou prochainement soumise en Allemagne à des restrictions d'exportations, l'amenant à commencer à requérir de ses clients des informations complémentaires sur l'usage des exportations, le type d'information nécessaires pour se conformer à une réglementation allemande de contrôle des exportations. Une réglementation de l'exportation de technologies de surveillance peut donc faire effet avant d'avoir force de loi, si même des requins du secteur s'efforcent déjà d'y être conformes.

Normes mondiales et arrangement de Wassenaar

On peut s'attendre à d'autres changements. La documentation laisse penser que le gouvernement a commencé à reconnaître la nécessité de réglementer d'autres technologies de surveillance qui lèsent les droits humains. Elle mentionne explicitement les “Centrales de Contrôle”, qui peuvent héberger les données des courriels, SMS, conversations téléphoniques par Internet et VOIP en un unique data center, comme des technologies dont on peut faire mauvais usage et donc justifiant d'une réglementation supplémentaire.

Le lieu tout trouvé pour négocier ces réformes est l'Arrangement de Wassenaar, un accord non obligatoire entre Etats sur la manière de réglementer certaines technologies à “usage dual” au plan international. Wassenaar donne essentiellement une longue ‘liste de contrôle’ des technologies qui selon tous les pays membres sont susceptibles de mauvais usage. Chaque Etat membre de l'UE met ensuite en oeuvre les décisions dans sa propre législation de contrôle des exportations. Les listes sont révisées chaque année lors d'une grande conférence des Etats membres de Wassenaar. Une année entière est généralement nécessaire pour que ces changements soient appliqués dans les cadres juridiques nationaux des différents pays membres de Wassenaar.

Comme beaucoup de défenseurs des droits humains, nous croyons que l'Arrangement de Wassenaar fournit la plate-forme la plus solide permettant au gouvernement allemand de presser pour de tels changements et cette instance a confirmé à maintes reprises son souhait que le parlement allemand aille jusqu'au bout. Une meilleure réglementation des technologies de surveillance est “d'une haute importance politique” pour les pays membres de Wassenaar comme pour la Commission européenne qui considère le domaine comme “fortement prioritaire.”

L'Allemagne pousse aussi activement pour que les modifications de 2013 à la liste de contrôle de Wassenaar s'appliquent au niveau de l'UE le plus vite possible. Des responsables disent vouloir avancer là-dessus dès l'automne 2014. Un pronostic optimiste, mais à la mesure des pas que le gouvernement allemand a déjà faits à divers niveaux pour accélérer le processus. L'avenir dira si le calendrier est-il réaliste, il est en tous cas le signe d'une motivation substantielle du gouvernement allemand après des années d'inaction.

Les partis politiques d'Allemagne, et plus loin

Au-delà des technologies de surveillance proprement dites, le chef du SPD et ministre de l'Economie Sigmar Gabriel a affirmé sa volonté d'interpréter la réglementation de contrôle des exportations plus strictement dans tous les domaines. Les outils pour cela sont déjà là, sous la forme des “Principes politiques pour les exportations” mis au point par le gouvernement allemand en 2000, toutefois rarement appliqués avec rigueur. Le ministre SPD Sigmar Gabriel a  interprété ces principes plus strictement pour empêcher l'exportation de divers armements. La régulation supplémentaire des technologies de surveillance à usage dual rentre donc parfaitement dans son programme. En même temps il a essuyé les critiques dans la presse et les médias allemands du parti Vert pour n'avoir pas été en mesure de prouver qu'il a effectivement refusé une demande concrète pour des technologies de surveillance.

Ici comme dans d'autres cas le combat est essentiellement politique plutôt que concret. Nous saluons le fait que deux partis politiques se disputent désormais la meilleure efficacité dans la réglementation des technologies de surveillance. Sur le plan pratique, ils ont tous deux pris des engagements forts, et la partie SDP de la coalition gouvernementale n'a pas encore pu les traduire complètement dans la réalité. Ce qui est à noter, c'est l'aspiration persévérante du gouvernement allemand à devenir une voix prédominante dans les débats internationaux sur la régulation des technologies de surveillance. L'avenir dira s'ils arriveront réellement à tenir cette promesse, mais les signes restent prometteurs.

Commentez

Merci de... S'identifier »

Règles de modération des commentaires

  • Tous les commentaires sont modérés. N'envoyez pas plus d'une fois votre commentaire. Il pourrait être pris pour un spam par notre anti-virus.
  • Traitez les autres avec respect. Les commentaires contenant des incitations à la haine, des obscénités et des attaques nominatives contre des personnes ne seront pas approuvés.