Souvent classée parmi les meilleurs fournisseurs de VPN, l'entreprise ExpressVPN a reconnu avoir été au courant – et ce dès le début de leur collaboration –, de la participation de l'un de ses cadres à un programme d'espionnage des Emirats arabes unis (EAU) employant des anciens agents du renseignement américain. Malgré la condamnation dudit cadre par la justice américaine, ExpressVPN a déclaré lui maintenir sa confiance. Le célèbre lanceur d'alerte Edward Snowden a mis en garde les utilisateurs de ce VPN.
Dans un message publié le 14 septembre sur Twitter, le journaliste spécialiste de la cybersécurité Joseph Menn a fait référence à un homme qui est ou fut «du moins jusqu'à récemment CIO [Chief Information Officer, c'est-à-dire responsable des technologies de l'information et de la communication] du grand VPN ExpressVPN», en indiquant qu'il est «l'un des trois anciens agents des services de renseignement américains qui ont accepté aujourd'hui de ne pas se défendre contre les accusations d'avoir aidé illégalement les Emirats arabes unis à pirater des individus». «Ça fait réfléchir», conclut le reporter de l'agence Reuters, avant d'interroger ses lecteurs en ces termes dans un message suivant : «Les EAU sont très, très sérieux à propos de la surveillance. Connaissez-vous votre fournisseur de VPN à moitié aussi bien qu'il ne vous connaît ?»
1,7 million de dollars d'amende pour trois ex-agents du renseignement américain ayant travaillé pour les Emirats
Ce même 14 septembre, le département de la Justice des Etats-Unis a annoncé que trois anciens agents du renseignement américain ont admis avoir participé à une opération de piratage informatique pour le compte des Emirats arabes unis ciblant des ennemis et rivaux de cet Etat du Golfe. Une affaire complexe qui met en lumière le marché mondial du piratage informatique, où des gouvernements recrutent des experts en sécurité informatique étrangers pour espionner leurs ennemis.
Comme l'indique l'AFP, Marc Baier (49 ans), Ryan Adams (34 ans) et Daniel Gericke (40 ans) ont accepté de payer des pénalités financières pour un montant cumulé de 1,7 million de dollars (environ 1,45 million d'euros) – soit la somme d'argent qu'ils avaient gagnée en travaillant pour les EAU – afin de suspendre les poursuites judiciaires à leur encontre pour violation des lois lois américaines d'exportation, fraude informatique et accès frauduleux à des ordinateurs. Un tribunal fédéral de Virginie a ainsi accepté de différer les poursuites pendant trois ans.
Les trois hommes avaient travaillé dans le renseignement américain – notamment la NSA, l'Agence de renseignement militaire américaine – avant de participer de 2016 à 2019 à des cyberattaques menées par une entreprise émiratie liée au gouvernement des Emirats sur diverses cibles, notamment des serveurs informatiques aux Etats-Unis, selon la justice américaine. L'une de ces opérations de piratage leur a donné accès à «des dizaines de millions» de smartphones, selon la même source.
Comme le précise le média Vice, les trois hommes auraient utilisé des systèmes «zéro-clic» permettant de prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur. Ceux-ci auraient été implémentés dans «Karma», le système de piratage utilisé par le projet Raven des EAU. Ce projet reposait sur une équipe clandestine comprenant une douzaine d'anciens agents des services de renseignement américains recrutés pour aider les Emirats arabes unis à surveiller d'autres gouvernements, des militants et des activistes des droits de l'Homme qui critiquent la monarchie, selon Reuters.
Au-delà des sanctions financières, les accusés ont été bannis du renseignement américain et ont l'interdiction de pratiquer à nouveau des activités de piratage.
ExpressVPN au courant des «éléments-clés» du CV de Daniel Gericke
La société ExpressVPN s'est rapidement exprimée sur l'affaire, dans un communiqué relayé par Vice. «Nous connaissions les éléments-clés relatifs aux antécédents professionnels de Daniel [Gericke] avant même de l'avoir embauché, car il les a divulgués de manière proactive et transparente avec nous dès le début», a déclaré l'entreprise enregistrée dans les Iles Vierges britanniques, en précisant que «c'est son histoire et son expertise qui ont fait de lui [un employé] inestimable pour notre mission de protection de la vie privée et de la sécurité des utilisateurs».
«Daniel a une compréhension profonde des outils et des techniques utilisés par les adversaires contre lesquels nous visons à protéger les utilisateurs et, en tant que tel, il est un expert particulièrement qualifié pour [nous] conseiller sur la défense contre ces menaces. Notre produit et notre infrastructure ont déjà bénéficié de cette compréhension pour mieux sécuriser les données des utilisateurs», poursuit le communiqué.
ExpressVPN déclare ensuite ne pas souhaiter se séparer de Daniel Gericke, qui est maintenu dans ses fonctions : «Nous étions confiants à l'époque et nous le sommes encore aujourd'hui dans le désir et la capacité de Daniel à contribuer à notre mission, qui est de permettre aux utilisateurs de mieux protéger leur vie privée et leur sécurité. Il n'a fait preuve que de professionnalisme et d'engagement pour faire progresser notre capacité à préserver la sécurité et la confidentialité des données des utilisateurs. Notre confiance en Daniel reste forte». «Pour être tout à fait clair, autant que nous apprécions l'expertise de Daniel et la façon dont il nous a aidés à protéger les clients, nous ne tolérons pas le Projet Raven», a néanmoins tenu a préciser l'entreprise, comme l'indique le site d'information sur les nouvelles technologies Techradar.
«Bien sûr, nous ne comptons pas uniquement sur la confiance en nos employés pour protéger nos utilisateurs. Nous avons des systèmes robustes et des contrôles de sécurité en place dans tous nos systèmes ou produits», explique enfin ExpressVPN, qui affirme «fournir un accès important à de nombreux tiers indépendants pour effectuer des audits, des évaluations de sécurité et des tests de pénétration sur nos systèmes et nos produits».
Un argument qui n'a pas convaincu Edward Snowden, ex-employé de la NSA devenu célèbre après avoir révélé la surveillance de masse illégale exercée par les Etats-Unis et leurs alliés sous la présidence de Barack Obama. En relayant le tweet de Joseph Menn, le lanceur d'alerte ayant obtenu l'asile politique en Russie en 2013 a partagé sur Twitter son analyse sans appel : «Si vous êtes un client d'ExpressVPN, vous ne devriez pas l'être.»
P. F.