OWNI http://owni.fr News, Augmented Tue, 17 Sep 2013 12:04:49 +0000 http://wordpress.org/?v=2.9.2 fr hourly 1 Amesys écoutait aussi la banque de Ben Ali http://owni.fr/2011/12/07/amesys-ecoutait-aussi-la-banque-de-ben-ali/ http://owni.fr/2011/12/07/amesys-ecoutait-aussi-la-banque-de-ben-ali/#comments Wed, 07 Dec 2011 07:40:38 +0000 Jean Marc Manach http://owni.fr/?p=89270

La semaine passée, OWNI révélait en partenariat avec Wikileaks, dans le cadre de l’opération SpyFiles, que la société française Amesys avait contribué à espionner plus d’une dizaine de “figures historiques” de l’opposition libyenne, dont l’actuel ministre libyen de la culture, ainsi que l’ambassadeur de la Libye à Londres. Leurs noms ou adresses e-mails figurent en effet sur une capture d’écran, que nous avons désanonymisée, à l’intérieur d’un document décrivant le mode d’emploi d’Eagle, un système de surveillance “massif” de l’Internet vendu par Amesys à la Libye de Kadhafi.

Bruno Samtmann, directeur commercial d’Amesys, cherche aujourd’hui à se dédouaner en expliquant, à France TV que son système a été créé pour identifier les pédophiles, laissant entendre que le nouvel ambassadeur de la Libye à Londres serait peut-être un pédophile, voire un narco-trafiquant…

En outre, d’autres captures d’écran du système Eagle révèle que ses utilisateurs ont également cherché à identifier “tous les employés” d’une banque tunisienne, qu’on y trouve ainsi des dizaines d’adresses mail et de courriels échangés par plusieurs de ses employés (essentiellement des femmes), ainsi que des reçus envoyés automatiquement par les robots de la banque, ou encore par le système SWFIT de transferts interbancaires… que l’on pourrait difficilement suspecter de pédophilie.

La page 11 du manuel est censée expliquer comment le “superutilisateur” du système assigne des tâches aux opérateurs chargés de faire le tri dans les télécommunications interceptées. Or, on peut y lire  :

merci d’identifier tous les employés de cette banque

La BIAT est la Banque internationale arabe de Tunisie, l’une des plus importantes institutions financières en Afrique du Nord, et la première banque privée tunisienne.

Les pages qui suivent, dans le manuel, sont ainsi truffées d’adresses e-mail de type prénom.nom@biat.com.tn, mais également de nombreuses adresses en @yahoo.fr, @gmail.com, @hotmail.com, @voila.fr, @wanadoo.fr ou @laposte.net… sans que l’on sache trop s’il s’agit de clients, ou bien d’employés, ni s’il s’agit de Français ou bien de francophones :

On y trouve également un e-mail de confirmation (en français) d’un virement SWIFT envoyée par la BIAT à l’un de ses clients libyens :

Contactée, la Society for Worldwide Interbank Financial Telecommunication (SWIFT), qui fournit des services de messagerie standardisée de transfert interbancaire à plus de 9700 organismes bancaires, établissements financiers et clients d’entreprise dans 209 pays, confirme que “l’email envoyé par la banque BIAT fait bien référence à une transaction effectuée sur le réseau SWIFT” :

Il s’agit en fait d’une communication entre la banque et son client dont l’objet est la confirmation de l’exécution d’une opération demandée par le client. Il s’agit là d’une procédure classique : la banque opère pour le compte d’un client qui n’est pas lui-même connecté à SWIFT et lui envoie ensuite confirmation de la bonne réalisation de l’opération.

Interrogée pour savoir si cela constituait une violation de la sécurité de SWIFT, le réseau interbancaire tient à préciser qu’”en aucun cas la sécurité et la confidentialité des informations qui transitent par le réseau SWIFT ne sont affectées“. A contrario, elle précise également que la banque gagnerait à sécuriser ses communications :

L’utilisation d’un canal d’échange de type mail non sécurisé pour effectuer cet échange ne dépend pas de SWIFT lui-même, mais relève du domaine de responsabilité de la banque BIAT. Toutefois, Il faut noter que celle-ci prend la précaution de n’envoyer à son client qu’une copie de l’acquittement technique de remise du message au réseau (d’où le nom du fichier en pièce jointe Ack6429108787 : Ack = Acknowledgement). Cet acquittement ne contient que des données techniques relatives à la transmission du message (horodatage, référence unique de transfert ..) mais ne contient pas le message en lui-même. Cet acquittement délivré par le réseau SWIFT donne la preuve au client de la bonne prise en compte de son opération et peut être utilisé en cas de litige avec la contrepartie.

Cet échange de mail ne remet donc pas en cause la confidentialité de l’opération réalisée par la banque sur le réseau SWIFT. Si cet échange est au-delà du domaine d’intervention et de responsabilité de SWIFT, ce dernier peut néanmoins conseiller à la banque BIAT d’utiliser un réseau sécurisé pour communiquer ce genre d’informations à ses clients.

Qui a espionné la banque de Ben Ali ?

Créée par Mansour Moalla, l’ancien ministre des finances de Bourguiba limogé par Ben Ali, la BIAT était passée sous le contrôle du groupe des frères Mabrouk (dont Marouane, marié à Cyrinne, l’une des filles de l’ancien président Zine el-Abidine Ben Ali) qui, fort de leur trésorerie alimentée par les super et hypermarchés Monoprix, avait acquis 24% du capital, pour 47,5 millions d’euros cash, en 2006. En septembre 2007, elle ouvrait un bureau de représentation à Tripoli.

En octobre 2008, le groupe Mabrouk montait à hauteur de 30% ce qui, avec les 8% que détenait l’homme d’affaires Aziz Miled, lui aussi très proche de Ben Ali et du clan Trabelsi, leur donnait la minorité de blocage.

Les captures d’écran désanonymisées montrent que l’espionnage des mails de la BIAT a été effectué dans la foulée, d’octobre 2008 à début 2009.

Suite à la fuite de Ben Ali, en 2011, le Conseil du marché financier (CMF) tunisien a publié un communiqué de la BIAT révélant que la banque avait financé 26 sociétés et 10 groupes appartenant à des proches ou membres de la famille de Ben Ali, à concurrence de près de 350 millions de dinars, soit près de 180 millions d’euros, représentant 6,5% du total des engagements de la banque.

En réponse à notre enquête, la société Amesys a envoyé un communiqué interne à tous ses salariés, que Reflets.info s’est procuré, et qui cherche à se dédouaner :

Les copies d’écrans qui figurent dans le manuel d’utilisation ont été fournies exclusivement par le client.

Outre le caractère somme toute cocasse de cette tentative de justification (il est relativement rare qu’une entreprise demande à son client de l’aider à réaliser le mode d’emploi du produit qu’elle lui a vendu), cette explication ne tient pas pour les dizaines d’adresses e-mails des employés de la BIAT. Comment, en effet, le système Eagle de surveillance de l’Internet, installé en Libye, aurait-il pu intercepter des mails échangés entre employés d’une banque tunisienne ? Sauf à imaginer que le trafic Internet de la Tunisie transite par la Libye, on peine à comprendre comment les utilisateurs d’Eagle, à Tripoli, auraient pu espionner des Tunisiens écrivant à des Tunisiens, ce que reconnaît d’ailleurs la porte-parole d’Amesys qui, interrogée à ce sujet, reconnaît que cela aurait effectivement été “techniquement impossible“.

Amesys a certes vendu son système Eagle a plusieurs autres pays au Moyen-Orient, mais rien n’indique qu’il ait jamais été vendu à la Tunisie de Ben Ali. Et il est d’autant plus improbable que les captures d’écran aient été faites en Tunisie qu’au moment de la rédaction du manuel, entre la fin 2008 et le mois de mars 2009, Eagle venait tout juste d’être installé à Tripoli.

Des dizaines de Tunisiens, utilisant des adresses e-mails de prestataires tunisiens, français et américains, ont donc été espionnés, et le contenus de leurs e-mails, ainsi que leurs contenants (qui écrit à qui, quand, au sujet de quoi ?), ont été “analysés“, entre la fin 2008 et début 2009, au moment même où le groupe Mabrouk finalisait sa prise de contrôle de la BIAT, par un utilisateur non-identifié du logiciel d’Amesys. Reste donc à savoir par qui, et pour quoi la Libye, Amesys ou encore les services de renseignement français (Amesys se présente comme le principal fournisseur de solutions d’interception des communications des ministères de la Défense et de l’Intérieur) se seraient ainsi intéressés aux employés de la BIAT à ce moment-là.


Photo et illustration Loguy pour Owni /-) et Abode of Chaos [cc-by] via Flickr

]]>
http://owni.fr/2011/12/07/amesys-ecoutait-aussi-la-banque-de-ben-ali/feed/ 8
SWIFT, ou l’espionnage légalisé des flux financiers par les USA http://owni.fr/2011/06/14/swift-ou-lespionnage-legalise-des-flux-financiers-par-les-usa/ http://owni.fr/2011/06/14/swift-ou-lespionnage-legalise-des-flux-financiers-par-les-usa/#comments Tue, 14 Jun 2011 08:41:12 +0000 Jean Marc Manach http://owni.fr/?p=67771 L’informatique laisse des traces. A fortiori lorsqu’il s’agit de transactions bancaires. Ce pour quoi a précisément été créé, en 1973, la Society for Worldwide Interbank Financial Telecommunication (SWIFT). SWIFT est une coopérative bancaire belge qui a pour objectif de faciliter les transferts interbancaires dématérialisés, et d’assurer la non-répudiation des transactions entre les 9 000 institutions et banques de 209 pays qui s’en servent pour échanger plusieurs millions de fichiers quotidiennement.

En 2006, le New York Times révélait que les États-Unis espionnaient les transactions financières internationales, dans le cadre de leur programme de lutte antiterroriste mis en place après 2001. Pour cela, ils se fournissaient à la source, en obligeant SWIFT à leur transmettre des millions de transactions, en violation des législations belges et européennes relatives à la protection des données personnelles.

Le Parlement européen, tout comme le groupe Article29 (qui fédère les CNIL européennes), crièrent au scandale. Le Conseil des ministres européens décida de conclure un accord afin de permettre aux États-Unis de continuer à surveiller les transactions bancaires, mais en toute légalité.

Le 4 février 2010, la Commission des libertés civiles (LIBE) du Parlement européen, suivis par les eurodéputés, rejetaient l’accord SWIFT au motif qu’il ne respectait pas pleinement les droits des citoyens européens.

En juillet 2010, les mêmes approuvaient une seconde version de l’accord, après que Washington ait accepté de faire un certain nombre de concessions : les données doivent être “filtrées” par Europol, et les États-Unis doiventjustifier auprès des autorités européennes les raisons de leurs suspicions, modifier les données inexactes et offrir un recours légal aux États-Unis si l’information est détournée de son but“, comme s’en félicitait alors Sylvie Guillaume, eurodéputée socialiste membre titulaire de la Commission LIBE :

Parmi les avancées, citons notamment la restriction des transferts exclusivement à des fins de lutte contre le terrorisme, une limitation raisonnable de la durée de conservation des données, un droit pour les citoyens européens d’accès et de rectification aux données les concernant, et le cas échéant, la possibilité de recours administratifs et judiciaires.

Par ailleurs, une autorité européenne, sera chargée du contrôle de la légitimité des requêtes américaines, et pourra les rejeter si nécessaire.

De “sérieuses préoccupations”

L’autorité de contrôle commune d’Europol (ACC), composé de membres des CNIL européennes et chargée de veiller à ce qu’Europol respecte ces principes de protection des données, a effectué son tout premier contrôle de conformité de l’accord SWIFT en novembre dernier. Mais il a fallu attendre cette fin du mois de mai pour qu’elle le rende public dans un communiqué relayé par la CNIL, où elle soulève “de sérieuses préoccupations au regard de la conformité aux principes de protection des données“.

Alors que l’une des avancées majeures de l’accord consistait à donner à Europol “un rôle de vérification du caractère proportionné et nécessaire des demandes américaines“, afin de lui permettre d’”approuver ou refuser la transmission de données SWIFT vers les États-Unis d’Amérique“, l’ACC s’est retrouvée dans l’incapacité de mener à bien sa mission :

La conclusion la plus importante du contrôle est que les requêtes écrites reçues par Europol ne sont pas suffisamment spécifiques pour permettre de décider s’il convient de les autoriser ou de les refuser.
Il a été constaté que les requêtes américaines étaient trop générales et trop abstraites pour permettre une évaluation correcte de la nécessité des transmissions de données demandées.
En dépit de cela, Europol a autorisé chaque requête reçue.

Pour vérifier le “caractère proportionné et nécessaire des demandes américaines“, les agents d’Europol ont des entretiens verbaux avec leurs homologues américains, qui veulent bien répondre à leurs questions “à la condition qu’aucun enregistrement ne soit réalisé” :

Ce type de procédure empêche l’ACC de vérifier si Europol prend ses décisions à bon droit.
La place significative d’informations orales rend tout audit correct, interne ou externe, mené respectivement par le service de protection des données d’Europol ou par l’autorité de contrôle commune Europol, impossible.

L’an passé, le G29 des CNIL européennes s’était déclaré sceptique quant à la portée de l’accord SWIFT. Elle se déclare aujourd’hui impuissante, et réclame donc aux autorités américaines qu’elles acceptent de laisser des traces écrites de leurs demandes d’accès aux données bancaires.

Et cela fait maintenant 10 ans que cela dure…


Retrouvez l’intégralité des articles de cette “une” spéciale surveillance :
Le fichier français des passagers aériens ne respecte pas la loi informatique et libertés
La conservation des données, ça c’est vraiment CEPD
SWIFT, ou l’espionnage légalisé des flux financiers par les USA
La France, championne d’Europe de la surveillance des télécommunications

Photo CC Rauch Dickson.

]]>
http://owni.fr/2011/06/14/swift-ou-lespionnage-legalise-des-flux-financiers-par-les-usa/feed/ 2