Hacking team : «le piratage de nos documents est une situation très dangereuse»

Des révélations montrent que l'entreprise italienne de piratage informatique, victime à son tour d'un hacking à grande échelle, faisait affaire avec toute sorte de clients, sans forcément se soucier de l'aspect éthique de ses partenariats.

Hacking team, une entreprise italienne récemment attaquée pour sa vente d'outils de piratage à des gouvernements aux politiques sur les droits de l'homme douteuses, aurait fait partager ses techniques d'espionnage à une agence de sécurité au Bangladesh surnommée par Human Rights Watch, l'«escadron de la mort».

Au moins 400 gigaoctets de documents et le code source interne de Hacking Team ont été divulgués en ligne après que la compagnie basée à Milan soit devenue la cible d'une attaque de hackers le week-end dernier. Les révélations révèlent des clients de la société tels que le Soudan et l'Arabie saoudite .

Il ya deux mois, un représentant de Hacking Team s'était rendu à Dacca, la capitale du Bengladesh pour «une démonstration pratique» de l'équipement de surveillance de l'entreprise «en conformité avec les paramètres de base du Bangladesh», selon les emails de l'entreprise examinés par le média TheIntercept.

Le mois dernier, un revendeur travaillant pour Hacking Team au Bangladesh a indiqué qu'il avait soumis les documents d'appel d'offres pour un contrat avec le «Bataillon d'action rapide bengali» qui, selon Human Rights Watch, est responsable de nombreux actes de torture, mauvais traitements et arrestations arbitraires ainsi qu'environ 800 meurtres au cours des 10 dernières années.

Hacking Team aurait également fourni sa technologie à la DEA (organisme américain de lutte contre le trafic drogue) qui, comme le révèle un des e-mails ayant fuité, utilise des logiciels espions lors d'opérations de surveillance de l'ambassade américaine à Bogota. L'email suggère également qu'en dehors de la technologie de Hacking Team, la DEA utiliserait également d'autres équipements d'espionnage au sein de l'ambassade de Colombie.

Par ailleurs, Ryan Gallagher du journal TheIntercept, qui assure avoir eu accès aux fichiers piratés, a indiqué que l'un des partenaires clés de Hacking Team est une société basée en Israël et ayant des liens étroits avec les agences militaires et de renseignement israéliens. D'après sa biographie, le PDG de Nice Systems, Barak Eilam, était autrefois officier dans une «unité de renseignement d'élite» de l'armée israélienne. 

Les documents piratés de Hacking Team montrent que Nice System a été impliqué dans plusieurs appels d'offres pour des entreprises à travers le monde, avec notamment des contrats en Azerbaïdjan et en Thaïlande. Il a été chargé de pousser les ventes au Brésil, au Koweït, en Finlande, en Géorgie, en Grèce, en Inde et en Ouzbékistan, pour n'en nommer que quelques uns. 

Les liens de l'entreprise avec le Soudan ont déjà causé un certain embarras, d'autant plus que Hacking Team avait déjà démenti publiquement avoir quelques liens que ce soit avec Khartoum. Parmi les documents divulgués, un document montre comment Hacking Team exige du gouvernement soudanais le paiement de 480 000 euros par virement bancaire pour des systèmes de «contrôle à distance» utilisés pour accéder aux données personnelles d'une cible.

L'an dernier, Reporters sans frontières avait pointé du doigts la compagnie qui a toujours maintenu qu'elle vendait légalement ses produits à des fins de cyberlutte contre les ennemis potentiels de ses clients. 

Ces fuites semblent avoir porté un grand coup à la réputation de Hacking Team. Interrogé par l'international Business Times, le porte-parole de la société Eric Rabe avait formellement démenti les allégations des journalistes le soupçonnant de traiter avec des régimes despotiques. Rabe avait déclaré que sa société était totalement transparente et qu'aucune preuve ne permettait d'affirmer le contraire. 

D'après les fichiers divulgués, parmi les clients de Hacking team figureraient : l'Egypte, l'Ethiopie, le Maroc, le Nigeria, le Soudan, le Chili, la Colombie, l'Équateur, le Honduras, le Mexique, le Panama, les États-Unis, l'Azerbaïdjan, le Kazakhstan, la Malaisie, la Mongolie, Singapour, la Corée du Sud, la Thaïlande, l'Ouzbékistan, le Vietnam, l'Australie, Chypre, la République tchèque, Allemagne, la Hongrie, l'Italie, le Luxembourg, la Pologne, la Russie, l'Espagne, la Suisse, Bahreïn, Oman, l'Arabie Saoudite et les Emirats Arabes Unis.

Les fuites de documents cités par The Intercept montrent que les services de police du Royaume-Uni ont également testé la technologie controversée de Hacking équipe et ont été tentés de l'acheter durant plusieurs années . Selon les fuites, ils se seraient retenus de le faire à cause de  «certaines préoccupations à voir avec l'autorité légale» de la technologie.

En mai 2011, Hacking Team avait organisé une réunion secrète avec plusieurs agences britanniques intéressées, parmi lesquels auraient figuré la police londonienne, l'office du gouvernement, l'agence de renseignement intérieur MI5, les douanes et l'Agence de lutte contre le crime organisé.

Deux ans plus tard en 2013, le partenariat semblait se confirmer. Un document confidentiel, cité par TheIntercept, a précisé que la police londonienne voulait obtenir un «logiciel pouvant être introduit clandestinement au sein d'un organe tiers afin de pouvoir l'espionner».

L'accord, d'une valeur de 385 000 livres, a été écourté en 2014 suite à des «examens internes sur la façon dont nous voulions faire avancer ce domaine de la technologie de l'avant», selon un mail de la police qui ajoutait par ailleurs, qu'un futur accord n'était néanmoins pas exclu. 

L'identité de l'auteur de la divulgation des information sensibles de Hacking Team reste pour le moment inconnue. Avant l'attaque, la société avait déclaré pouvoir contrôler l'accès de tel ou tel organisme à ses technologies. Aujourd'hui, ce contrôle a été perdu. Désormais, les terroristes, extorqueurs et autres peuvent déployer cette technologie à volonté s'ils savent s'y prendre. «C'est une situation extrêmement dangereuse» a déclaré Hacking Team.