Espionner les espions : Reflets.info s’auto leak

 

Les révélations du Wall Street Journal au sujet des écoutes faites en Libye à l’aide de technologies vendues à Kadhafi par la société Bull/Amesys ont provoqué une certaine panique parmi les employés et les dirigeants de la société.

Reflets.info publie aujourd’hui un extrait des logs du serveur qui héberge le site révélant une multitude d’informations sur ce qui intéresse les visiteurs du site en provenance de l’une des implantations françaises de Amesys, l’un des départements de Bull, dont nous avons repéré et catalogué les adresses IP.

Comme tout le monde, lorsqu’ils cherchent un renseignement, il se tournent vers Internet, où ils ont pu découvrir avec horreur que quatre mois avant le Wall Street Journal, Reflets.info dénonçait le système Glimp, installé en Libye, dans un article daté du 31 mai 2011.

Continuant leurs recherches, ils se sont aperçus avec effroi que Reflets, loin d’être un petit blog de hacker, était déjà à l’origine de scandales comme les fuites de données du système TMG, principal sous-traitant des ayants droit au service d’Hadopi, de la dénonciation des activités de ‘blackops’ de EuroRSCG à l’encontre d’opposants politiques français, ou bien encore de la dénonciation de la collaboration de la société Bluecoat (un concurrent de Bull/Amesys) avec le régime syrien (bientôt dans le Wall Street Journal, lui aussi).

Les informations susceptibles d’intéresser Bull/Amesys dans les contenus de Reflets sont multiples, sur la seule société Amesys, aujourd’hui à la Une de la presse mondiale : le blog a publié entre mai et août 2011 pas moins de 7 articles.

Mais ce qui est intéressant, en regardant de près les logs publiés par Reflets, ce sont les ‘referer’ stockés par le serveur Apache. C’est à dire les pages à partir desquels les employés de Bull/Amesys sont arrivés sur Reflets. Quand il s’agit d’une requête Google, cela devient encore plus intéressant, car cela donne très précisément la requête faite sur Google, et donc ce que cherchaient précisément à savoir les visiteurs du site.

On y apprend une multitude de choses, allant du drôle au tragique.

Commençons par le drôle

La quasi-totalité des requêtes faites par les employés de Bull/Amesys incluant le mot Libye orthographient le nom du pays de travers en l’épelant ‘Lybie’. Ne pas savoir épeler le nom d’un client VIP, c’est un peu bêta, mais ça donne tout de même l’occasion de raconter quelque chose de léger dans un scandale d’Etat qui ne l’est pas du tout. Des milliers de morts et un pays transformé pour à priori un bon bout de temps en zone de guerre. Le bilan humain de cette guerre Sarkozienne maquillée en intervention humanitaire pour masquer un deal sur le pétrole  ne fait que commencer ; il est déjà dramatique et ça n’est pas prêt de s’arrêter.

Le moins drôle

Plusieurs IP distinctes qui nous ont rendu visite, et donc, à priori, plusieurs individus différents (c’est une supposition, il n’est pas possible d’affirmer cela, mais la différence de configuration en OS et en navigateur permet au moins d’affirmer qu’il ne s’agit pas de la même machine, et que plusieurs machines partagent la même IP au sein de chaque filiale de Bull), on peut supposer qu’on trouve là-dedans, pêle-mêle, des employés qui, comme le racontait au Monde un syndicaliste CFDT, soupçonnaient les activités du groupe mais cherchent à en savoir plus, et d’autres, qui sont parfaitement au courant, et qui cherchent à savoir ce que nous savons dans un blog qui, de toute évidence, est particulièrement bien renseigné, vu qu’il s’intéressait au sujet 4 mois avant le Wall Street Journal.

Les mots clés tapés dans Google relèvent les questions des employés de Bull, en particulier ceux-ci.

Le parcours de 217.174.199.129 (Agarik, une filiale de Bull spécialisée dans l’hébergement) sur Reflets laisse imaginer les sueurs froides qui ont traversé notre surfeur du jour, puisque, après avoir parcouru plusieurs billets concernant sa société, il s’aperçoit que Reflets a également en ligne de mire plusieurs autres sociétés du même genre, comme Bluecoat en Syrie et tombe au passage sur un article traitant d’économie qui lui révèle que – horreur – les journalistes qui écrivent dans Reflets sont plutôt doués dans l’investigation financière, pour terminer sur des articles de politique générale qui laissent entrevoir des gens qui ne font pas la moindre concession face à des gens comme lui. Temps de lecture estimé : 40 minutes, juste avant la pause déjeuner. On imagine que la digestion a été difficile.

Pour ces utilisateurs venus directement de 86.65.148.130 (Amesys/i2e les deux filiales de Bull impliquées dans le scandale Takeddine), c’est via nos confrères et amis de Rue89 qu’ils découvrent Reflets. On imagine que le lien de Rue89 a dû tourner dans l’après-midi du 30 août au sein des marchands de mort numérique de la filiale de Bull.

Toujours en provenance de Amesys/i2e, cet autre visiteur découvrira le nombre affolant d’articles traitant de Deep Packet Inspection, la technologie au cœur des systèmes d’écoute vendus aux Libyens, et mesurera sans doute qu’il n’a pas, mais alors pas du tout à faire à des journalistes, mais bel et bien à une poignée d’experts qui savent parfaitement ce dont ils parlent (au point d’avoir ni plus ni moins réalisé il y a peu une expertise légale sur ces mêmes technologies en Syrie à l’attention d’ONG américaines).

Plus étonnant, toujours en provenance de chez Amesys/i2e, des utilisateurs qui arrivent chez Reflets via un portail tenu par Anonymous. On se souvient que d’autres barbouzes du net tel HBGary s’intéressaient eux aussi d’un peu trop près à Anonymous, et on se délecte à l’idée de voir quelle sera la réaction d’Anonymous au fait que Bull s’intéresse à eux. Au total, pas moins de sept visites d’employés d’Amesys arrivés par ce biais.

Autre passage, peut-être de la part du service communication (dirigé, oh! surprise ! par Tiphaine Hecketsweiler depuis janvier 2010, la fille de Gérard Longuet, ministre de la Défense français) : une requête Google portant sur la présence de la marque Amesys dans la presse.

Pas de chance, il va falloir rebrander chérie. Avec les millions investis par le Fond Stratégique d’investissement Français dans la société Bull il y a moins d’un mois, heureusement, les moyens ne manquent pas.

Mais, que savent-ils ces putains de journalistes ?!

Les requêtes Google (ou Bing) donnent une bonne idée de ce que craignent les employés du groupe Bull les plus renseignés. En les examinant, on devine leurs craintes : Amesys+Kadhafi, Amesys+Sarkozy (ça ne surprendra personne, mais un nombre de requêtes tout de même conséquent), et Amesys+Takeddine (là encore, rien de surprenant, oui, on est au courant).

J’ai gardé le meilleur pour la fin. Ami de la démocratie et d’Orwell, bonjour ! parmi les requêtes faites par les employés de Bull/Amesys visiblement destinées à voir où en étaient nos investigations : Amesys+Hadopi.

On rappelle pour mémoire que longtemps les activistes anti- Hadopi ont vu la présence dans la Haute Autorité du professeur Riguidel, détenteur de brevets sur le Deep Packet Inspection comme un signe de l’installation de systèmes de surveillance en France. Si on ajoute à cela le fait qu’il est désormais établi que les mêmes technologies utilisées en Libye sont installées en France, on a de quoi se poser des questions. Interrogations sincères d’un employé qui découvre l’horreur à laquelle il participe ou l’inquiétude de quelqu’un qui sait quelque chose et qui vérifie que l’information n’a pas déjà fuité ? Wait and see.

Tags: , , , ,

2 Réponses à “Espionner les espions : Reflets.info s’auto leak”

  1. Baytis
    2 septembre 2011 à 18:29 #

    Toujours avec classe cher Fabrice, continue comme ça 😉 !

Trackbacks/Pingbacks

  1. Espionner les espions : Reflets.info s’auto leak | Fhimt.com | Dirty Business Company | Scoop.it - 2 septembre 2011

    […] Espionner les espions : Reflets.info s’auto leak | Fhimt.com   Les révélations du Wall Street Journal au sujet des écoutes faites en Libye à l’aide de technologies vendues à Kadhafi par la société Bull/Amesys ont provoqué une certaine panique … Source: http://www.fhimt.com […]

Laisser un commentaire

Vous devez être connecté pour poster un commentaire.