L’article de Mashable a franchement secoué le landernau de la sécurité : « NSA Contract With French Hacking Company Revealed ». Et de publier le facsimile d’un bon de commande auprès de la société Vupen, facsimile obtenu en vertu du Freedom of Information Act.
Aux yeux de la presse nord-américaine, en plein psychodrame Snowdenien et Prismatique, le fait qu’une entreprise, étrangère de surcroît, vende à la NSA des outils de test de pénétration défensif/offensif pose question. D’autant plus que la relation entre Vupen et la No Such Agency ne date pas d’hier, la demande FOIA ayant débloqué un contrat datant de 2012. En fouillant un peu, il est également fort probable que l’on puisse trouver des factures portant le cachet d’Immunity Inc (Canvas) ou de Core Impact. Le budget de la NSA est amplement suffisant pour que ses techniciens puissent s’offrir une bibliothèque conséquente en matière d’outil de pentesting. La position de Chaouki Bekrar, patron de Vupen, a d’ailleurs toujours été très claire : «Nous vendons aux gouvernements alliés, et refusons énergiquement d’exporter nos produits et services dans des dictatures ». En d’autres termes, la direction de Vupen assure qu’il ne saurait y avoir une « affaire Vupen » comme il y a eu une « affaire Amesys ». Alors, pourquoi tant d’émois journalistiques ?
En premier lieu, parce que la presse US réagit de manière épidermique face à toute nouvelle révélation sur l’arsenal de flicage universel que possède la NSA. Cette administration totalement hors de tout contrôle, pas même (ou si peu) celui de l’exécutif, a compromis de manière répétitive et massive la vie privée de dizaines de milliers de citoyens des Etats Unis, révélaient récemment le New York Times et le Washington Post. Et la pilule passe mal. Un outil de flicage supplémentaire dans cette panoplie liberticide est une goutte d’eau qui fait déborder la vase malodorante brassée par les barbouzes US. Situation qui exacerbe les organisations de défense des droits citoyens, ACLU en tête. Cette organisation, réputée pour son radicalisme, se dresse vent debout contre ces marchands d’armes douces que sont les vendeurs de technologies de surveillance. « Christopher Soghoian described Vupen as a modern-day merchant of death, selling the bullets for cyberwar » écrit Lorenzo Franceschi-Bicchierai, journaliste de Mashable, interviewant précisément l’un de ces experts de l’ACLU.
En France, le calme est presque plat. Il faut dire que notre pays compte parmi les plus importants marchands d’armes au monde, que ces armes soient traditionnelles ou liées aux nouvelles technologies.
Reste que, depuis les révélations Snowden, il est apparu de manière un peu plus claire qu’il est parfois nécessaire de se « garder de nos amis ». Le climat n’est plus à l’admiration atlantiste béate des précédents gouvernements, surtout depuis que la guerre économique de l’ombre a été exposée au grand jour par les articles du Guardian. Ce qui était politiquement bien vu en 2012 fleure un peu plus le souffre en 2013 et peut être interprété de la manière suivante : Vupen, entreprise Française, fournit à un ennemi objectif les outils qui facilitent cet espionnage économique visant l’Europe. La responsabilité morale de son dirigeant est engagée, car il est impensable qu’il puisse ignorer la puissance des armes qu’il fabrique et qu’il fournit. Il peut également difficilement avoir oublié les précédents débordements de la NSA et autres services de renseignement US, de Carnivore à Magic Lantern, et donc en tirer les conclusions logiques quant à l’usage probable que la NSA fera de ses Exploits. On en revient une fois de plus à la question de Comte-Sponville sur la moralité du capitalisme. S’il est aisé de voir dans le capitalisme un processus dénué de toute morale intrinsèque, il est moins admissible, compte tenu de la taille réduite des entreprises du domaine de la sécurité offensive, de considérer la morale qui régit l’humain qui les dirige de la logique de profit qui dicte le fonctionnement de toute société commerciale. En d’autres termes, peut-on systématiquement dissocier ce qui relève de l’éthique, ce qui dépend de l’affairisme et ce qui découle d’une certaine culture historique des abus en matière de cyber-intelligence. Alors, Chaouki Bekrar responsable conscient de la vente d’armes technologiques à un pays « à-moitié-ennemi-depuis-les-révélations-Snowden » ?
Sauf que la NSA n’a pas franchement besoin des outils de Vupen pour invoquer le Patriot Act ou exiger la fourniture du contenu hébergé dans la filiale Française d’un opérateur de services US. Sauf que la NSA possède certainement, par ailleurs, ses propres usines à exploits ou ses propres filières d’approvisionnement. Sauf que ce genre de décision sur le contingentement des armes technologiques ne peut dépendre uniquement de la responsabilité d’un chef d’entreprise. Le problème est avant tout politique, et doit être résolu par le biais d’outils politiques. Seulement, il est hasardeux de légiférer sur un tel sujet, surtout lorsqu’aucun autre état n’a osé le faire jusqu’à présent. Aujourd’hui, attentisme rime avec atlantisme, en matière de régulation des cyber-armes, il est encore urgent de ne rien faire. Combien de temps une telle situation peut-elle perdurer sans exaspérer tant les entreprises qui commencent à prendre la mesure du risque lié à l’intelligence économique intrusive des pays amis, et tant les citoyens hantés par les titres alarmistes de la presse généraliste.
