© Capture d'écran - Mobily
Un célèbre expert en sécurité informatique a publié les détails de sa correspondance avec un opérateur téléphonique saoudien qui voulait le payer pour mettre en place un vaste système de cybersurveillance des télécommunications.
Par Sébastian SEIBT (texte)
L’Arabie saoudite travaille sur un vaste système d’interception
et de surveillance des moyens de télécommunication. Le royaume
wahhabite l’a même peut-être déjà finalisé. C’est en tout cas ce
qu’affirme Moxie Marlinspike*, l’un des experts américains en sécurité
les plus réputés et respectés, dans un long post de blog publié lundi 13 mai.
Sa preuve ? Des responsables de Mobily, l’un des deux opérateurs téléphoniques saoudiens, l’ont contacté par mail pour lui demander de l’aide afin de mettre en place cette cybersurveillance de grande ampleur.
Moxie Marlinspike, connu notamment pour avoir développé une technologie pour sécuriser les transferts de données mobiles, achetée en 2011 par Twitter, a décidé de rendre public cette tentative de débauchage afin "d'informer les gens sur l'existence de ce type de programme", explique-t-il à FRANCE 24.
À l’appui de ses affirmations, il produit notamment les retranscriptions de ses échanges électroniques avec un certain Yasser D. Alruhaily, l’un des responsables réseaux pour Mobily. Ses allégations sur les plans saoudiens rejoignent par ailleurs les conclusions d’un autre expert américain en cybersécurité, Kenneth Geers. Ce dernier a publié, en 2004, un rapport faisant état d’un programme de cybersurveillance des réseaux initié par Riyad.
Complice des terroristes ?
Dans le cas de Moxie Marlinspike, Mobily semblait s’intéresser exclusivement aux communications mobiles. “Je reçois pas mal de demandes de ce genre mais généralement je les ignore”, écrit-il. Pourquoi être allé plus loin cette fois-ci ? “Le titre du mail était tellement explicite que j’ai voulu en savoir plus sur les tenants et les aboutissants d’un système de cybersurveillance d’une telle ampleur”, explique-t-il à FRANCE 24.
Après une semaine de discussion avec son entreprenant interlocuteur, l’expert américain apprend que “sur demande des ‘régulateurs’”, l’opérateur téléphonique saoudien cherche à pouvoir surveiller et bloquer tout transfert des données depuis un téléphone portable, avec un intérêt particulier pour des services très populaires comme Twitter, WhatsApp (une application de messagerie instantanée), Viber et Line (deux services pour appeler gratuitement ou à bas prix).
Moxie Marlinspike a finalement refusé de pousser les discussions plus loin quand le Saoudien lui a demandé son tarif. “Je lui ai alors expliqué que je ne le ferais pas pour des raisons de respect de la vie privée”, indique-t-il. Son interlocuteur lui a alors sorti un argument massue : “J’ai moi-même des réticences, mais il faut savoir que l’Arabie saoudite a des problèmes avec des terroristes qui utilisent ces moyens de communication. En refusant de nous aider, vous faites leur jeu.”
Facile à faire
“C’est
une réponse clairement absurde”, s’emporte Moxie Marlinspike. Le récit
de ses discussions avec Yasser D. Alruhaily a eu un large écho auprès
d’internautes saoudiens qui l’ont remercié, sur son fil Twitter, pour avoir mis en lumière “le dessein de Mobily”. L'un d'eux souligne même l'ironie de la situation sachant que la loi saoudienne
punit, en théorie, d'un an de prison quiconque chercherait à espionner
d'autres personnes sur le Net. Moxie Marlinspike n’a en revanche eu
aucun retour de l’opérateur téléphonique depuis la parution de son
billet de blog.
Mais pour cet expert en sécurité, cet échange de mail dépasse le simple cadre de l’Arabie saoudite. “Ce qui est particulièrement navrant, c’est que techniquement j’aurais pu les aider à mettre en place une telle surveillance”, regrette-t-il sur son blog. Pour lui, le niveau de sécurité de la plupart des applications mobiles est très bas. “Je ne serais pas surpris d’apprendre qu’il existe dans d’autres pays des systèmes de surveillance des télécommunications comme celui que l’Arabie saoudite tente de mettre en place, car ce n’est pas très difficile à faire”, reconnaît Moxie Marlinspike. Il ajoute avoir été surpris que Riyad ne dispose pas encore de son Big Brother des télécommunications.
Le commun des mortels des utilisateurs des smartphones n’a, en outre, “que très peu de moyen de faire le tri entre les services sécurisés et les autres”, affirme-t-il. Il faudrait pour ce faire transformer tous les "mobinautes" en experts en sécurité. “Pour l’heure, tout ce qu’on peut faire, c’est parler des applications comme TextSecure et RedPhone qui sont développées spécifiquement pour permettre des communications sécurisées”, reconnaît-il.
*Ce n’est pas son vrai nom. Il n’a jamais rendu son identité publique sur Internet
Sa preuve ? Des responsables de Mobily, l’un des deux opérateurs téléphoniques saoudiens, l’ont contacté par mail pour lui demander de l’aide afin de mettre en place cette cybersurveillance de grande ampleur.
Moxie Marlinspike, connu notamment pour avoir développé une technologie pour sécuriser les transferts de données mobiles, achetée en 2011 par Twitter, a décidé de rendre public cette tentative de débauchage afin "d'informer les gens sur l'existence de ce type de programme", explique-t-il à FRANCE 24.
À l’appui de ses affirmations, il produit notamment les retranscriptions de ses échanges électroniques avec un certain Yasser D. Alruhaily, l’un des responsables réseaux pour Mobily. Ses allégations sur les plans saoudiens rejoignent par ailleurs les conclusions d’un autre expert américain en cybersécurité, Kenneth Geers. Ce dernier a publié, en 2004, un rapport faisant état d’un programme de cybersurveillance des réseaux initié par Riyad.
Complice des terroristes ?
Dans le cas de Moxie Marlinspike, Mobily semblait s’intéresser exclusivement aux communications mobiles. “Je reçois pas mal de demandes de ce genre mais généralement je les ignore”, écrit-il. Pourquoi être allé plus loin cette fois-ci ? “Le titre du mail était tellement explicite que j’ai voulu en savoir plus sur les tenants et les aboutissants d’un système de cybersurveillance d’une telle ampleur”, explique-t-il à FRANCE 24.
Après une semaine de discussion avec son entreprenant interlocuteur, l’expert américain apprend que “sur demande des ‘régulateurs’”, l’opérateur téléphonique saoudien cherche à pouvoir surveiller et bloquer tout transfert des données depuis un téléphone portable, avec un intérêt particulier pour des services très populaires comme Twitter, WhatsApp (une application de messagerie instantanée), Viber et Line (deux services pour appeler gratuitement ou à bas prix).
Moxie Marlinspike a finalement refusé de pousser les discussions plus loin quand le Saoudien lui a demandé son tarif. “Je lui ai alors expliqué que je ne le ferais pas pour des raisons de respect de la vie privée”, indique-t-il. Son interlocuteur lui a alors sorti un argument massue : “J’ai moi-même des réticences, mais il faut savoir que l’Arabie saoudite a des problèmes avec des terroristes qui utilisent ces moyens de communication. En refusant de nous aider, vous faites leur jeu.”
Facile à faire
Mais pour cet expert en sécurité, cet échange de mail dépasse le simple cadre de l’Arabie saoudite. “Ce qui est particulièrement navrant, c’est que techniquement j’aurais pu les aider à mettre en place une telle surveillance”, regrette-t-il sur son blog. Pour lui, le niveau de sécurité de la plupart des applications mobiles est très bas. “Je ne serais pas surpris d’apprendre qu’il existe dans d’autres pays des systèmes de surveillance des télécommunications comme celui que l’Arabie saoudite tente de mettre en place, car ce n’est pas très difficile à faire”, reconnaît Moxie Marlinspike. Il ajoute avoir été surpris que Riyad ne dispose pas encore de son Big Brother des télécommunications.
Le commun des mortels des utilisateurs des smartphones n’a, en outre, “que très peu de moyen de faire le tri entre les services sécurisés et les autres”, affirme-t-il. Il faudrait pour ce faire transformer tous les "mobinautes" en experts en sécurité. “Pour l’heure, tout ce qu’on peut faire, c’est parler des applications comme TextSecure et RedPhone qui sont développées spécifiquement pour permettre des communications sécurisées”, reconnaît-il.
*Ce n’est pas son vrai nom. Il n’a jamais rendu son identité publique sur Internet
Aucun commentaire:
Enregistrer un commentaire