La Russie profite de la guerre en Ukraine pour développer ses armes de cybersurveillance

La Russie n'a pas attendu la guerre en Ukraine pour contrôler, surveiller et censurer Internet. Une enquête du New York Times montre cela dit que le pays en profite pour développer un écosystème industriel de nouvelles armes de cybersurveillance, qu'il cherche à exporter, et qui pourraient concurrencer les technologies répressives chinoises.

Alors que la Russie s'est enlisée en Ukraine, qu'elle fait l'objet de nombreuses sanctions économiques imposées par l'Occident, mais également de risques d'opposition interne tels que la fronde d'Evgueni Prigojine, le commandant du groupe paramilitaire Wagner, « le président Vladimir Poutine s'appuie de plus en plus sur la technologie pour exercer son pouvoir politique », écrit le New York Times (NYT) : 

« Ce faisant, la Russie, qui était autrefois à la traîne de régimes autoritaires comme la Chine et l'Iran dans l'utilisation des technologies modernes pour exercer un contrôle, est en train de rattraper rapidement son retard. »

• La Russie a demandé de l'aide à la Chine pour améliorer le contrôle, la surveillance et la censure du Net

« Cela a rendu les gens très paranoïaques, car si vous communiquez avec quelqu'un en Russie, vous ne pouvez pas être sûr que c'est sécurisé ou non. Ils surveillent très activement le trafic », explique au NYT Alyona Popova, figure politique de l'opposition russe et militante des droits numériques : « Auparavant, ce système était réservé aux activistes. Maintenant, ils l'ont étendu à tous ceux qui ne sont pas d'accord avec la guerre ».

Ces outils permettraient à la police ainsi qu'au Service fédéral de sécurité de la fédération de Russie (FSB, le successeur du KGB soviétique) de « suivre certains types d'activités sur des messageries chiffrées telles que WhatsApp et Signal, de surveiller la localisation des téléphones, d'identifier des utilisateurs anonymes de médias sociaux et de s'introduire dans les comptes de certaines personnes », d'après de nombreux documents et témoignages recueillis par trois journalistes du NYT qui ont enquêté sur l'utilisation par la Russie des technologies de surveillance et de censure au cours des deux dernières années.

Identifier appels vocaux et envois de fichiers, même chiffrés

L'un des programmes décrits dans les documents peut identifier les appels vocaux ou l'envoi de fichiers sur des applications de messageries chiffrées telles que Telegram, Signal et WhatsApp.

Le NYT précise que le logiciel ne peut pas intercepter le contenu des messages, qui sont chiffrés en transit (pour Telegram) et de bout en bout (pour Signal, WhatsApp et via la fonction « échange secret / secret chat » de Telegram), mais qu'il peut néanmoins déterminer si une personne utilise plusieurs téléphones, cartographier son réseau de relations en suivant les communications avec d'autres personnes et trianguler les téléphones qui se trouvaient à certains endroits un jour donné. 

Un schéma issu d'une brochure commerciale décrivant, en anglais et à destination de potentiels clients internationaux, les capacités de surveillance d'un des outils en question, mentionne également la collecte d'informations de tous les SMS reçus et transmis, mais également l'allumage et l'extinction du téléphone ainsi que les déplacements de l'abonné en mode passif, avec affichage de l'itinéraire sur une carte. Un autre produit vise à collecter les mots de passe saisis sur des sites web non chiffrés.

Ces technologies auraient d'abord été utilisées à l'encontre d'opposants tels que les partisans du célèbre dissident emprisonné Alexei Navalny. Les autorités se seraient ensuite tournées, suite à l'invasion de l'Ukraine, vers des entreprises technologiques locales qui construisaient les anciens systèmes de surveillance utilisées par la police et le FSB, leur en demandant davantage.

À en croire le NYT, nombre d'entre elles appartiennent à Citadel Group, qui a racheté plusieurs des plus grands fabricants russes d'équipements d'écoute électronique et qui, selon le département d'État américain, contrôle entre 60 et 80 % du marché des technologies de surveillance des télécommunications de SORM, le « système pour activité d'enquête opératoire » de recherche et de surveillance de l'internet déployé à partir de 1995 pour permettre au FSB de surveiller les communications téléphoniques et Internet. 

Une vision granulaire de l'internet, rachetée par un oligarque russe

Le NYT précise que Citadel était autrefois partiellement contrôlé par Alisher Usmanov, un homme d'affaires russe d'origine ouzbèke qui, avant d'être la cible de sanctions de l'Union européenne en tant qu'oligarque favori de M. Poutine, comptait parmi les 100 personnalités les plus riches du monde (il a depuis été rétrogradé au 121ᵉ rang, d'après le classement de Forbes). 

Usmanov, qui dirigea le géant Gazprom de la fin des années 90 à 2014, avait entre autres investi sa fortune dans le non moins géant des mines et de la métallurgie Metalloinvest, mais également dans Mail.ru/VK (il avait racheté les parts de Pavel Durov, le fondateur de Telegram), Megafon (le 2ᵉ plus gros opérateur de téléphonie mobile russe), Facebook (où il aurait investi 200 M$), Twitter (800 M$), Apple (100 M$), Groupon, Zynga, Airbnb, Alibaba, Xiaomi...

Bien moins connues, les petites entreprises en charge des différents systèmes et technologies de surveillance des télécommunications russes liées à Citadel Group portent des noms tels que MFI Soft, Vas Experts et Protei, précise le NYT, qui note que leurs technologies permettent aux services de sécurité russes d'avoir « une vision granulaire de l'internet » et de surveiller des personnes précises.

Des « rencontres potentielles » et « comportements suspects »

L'un des outils de MFI Soft permet ainsi d'afficher, sur un panneau de contrôle à l'usage des officiers régionaux du FSB, des informations au sujet des abonnés, associées à des ventilations statistiques de leur trafic Internet.

Un autre de ses outils, NetBeholder, utilise la géolocalisation pour vérifier si plusieurs téléphones se trouvent fréquemment dans la même zone, permettant de déduire si quelqu'un utilise deux téléphones ou plus, mais également de cartographier les emplacements de deux téléphones au cours d'une journée afin de déterminer s'ils se sont croisés, indiquant une « rencontre potentielle ».

Une autre fonctionnalité permet de déterminer la région de Russie d'où vient chaque utilisateur ou le pays d'origine d'un étranger. NetBeholder se sert aussi de l'inspection approfondie des paquets (DPI), utilisée par les fournisseurs de services de télécommunications pour analyser la destination de leur trafic. 

• Comment la Russie va espionner les communications lors des JO de 2014
• LPM 2019-2025 : le gouvernement refuse d’inventorier les données soumises au deep packet inspection

« À l'instar de la cartographie des courants d'eau dans un ruisseau, le logiciel ne peut pas intercepter le contenu des messages, mais il peut identifier les données qui circulent et leur emplacement », comme le résume élégamment le NYT : 

« Cela signifie qu'il peut déterminer avec précision quand quelqu'un envoie un fichier ou se connecte à un appel vocal sur des applications chiffrées telles que WhatsApp, Signal ou Telegram. Le F.S.B. a ainsi accès à d'importantes métadonnées, c'est-à-dire aux informations générales relatives à une communication, telles que qui parle à qui, quand et où, et si un fichier est joint à un message. »

Protei, une autre société, propose de son côté des produits permettant de transcrire en mode texte les appels téléphoniques interceptés, ainsi que des outils permettant d'identifier les « comportements suspects », selon un des documents consultés par le NYT, qui ne fournit pas plus d'explications.

Signal n'a pas été conçue pour cacher le fait que vous l'utilisez

Si les messageries chiffrées de bout en bout (E2EE) protègent le contenu des communications et échanges de données, elles peuvent cela dit être amenées à divulguer certaines métadonnées, comme le montrait ce document du FBI de 2021 obtenu suite à une demande FOIA : 

Or, et comme le précise WhatsApp, ces demandes d'accès aux métadonnées sont examinées par une équipe formée chargée de l'intervention et de l'application de la loi (LERT), qui examine et évalue chaque demande afin de s'assurer qu'elles sont conformes à la législation nationale et au droit applicable à l'international : 

« Si nous déterminons qu'une demande gouvernementale n'est pas conforme à la législation en vertu de laquelle la demande a été émise ou à nos politiques, nous la rejetons et nous incitons l'agence gouvernementale à remédier à toute non-conformité apparente. Si la demande se révèle illégale, trop générale, juridiquement incomplète ou soulève des problèmes relatifs aux normes internationales, nous rejetterons ou contesterons la demande. »

Les rapports de transparence de Meta révèlent que si l'entreprise reçoit très peu de demandes émanant des autorités russes, l'entreprise n'y a jamais répondu favorablement, contrairement aux demandes émanant des autorités américaines et françaises par exemple : 

Pour autant, les messageries chiffrées comme Signal, WhatsApp ou Telegram ne peuvent pas empêcher les fournisseurs d'accès à Internet et opérateurs de téléphonie mobile de surveiller le trafic sur leurs réseaux. Comme le résume le NYT, « le chiffrement peut masquer les messages spécifiques échangés, mais ne peut pas bloquer l'enregistrement de l'échange ».

Or, relève le NYT, en Russie, le simple fait d'avoir un échange numérique avec une personne suspecte peut déclencher une enquête plus approfondie, voire une arrestation.

« Signal n'a pas été conçu pour cacher le fait que vous utilisez Signal à votre propre fournisseur d'accès à Internet », reconnait Meredith Whittaker, la présidente de la Signal Foundation, dans un communiqué. Elle appelle les personnes qui s'inquiètent d'un tel suivi à utiliser une fonction qui envoie le trafic via un autre serveur afin d'obscurcir son origine et sa destination.

4/ No silver-bullet-setting stops all metadata breadcrumbs!

But some settings that reduce metadata exposure go sadly underused by ppl at high risk.

E.g on @signalapp: 𝐀𝐥𝐰𝐚𝐲𝐬 𝐑𝐞𝐥𝐚𝐲 𝐂𝐚𝐥𝐥𝐬

Makes it harder track who you speak to.

(Settings➡️Privacy➡️Advanced) pic.twitter.com/kvjggHxPig

— John Scott-Railton (@jsrailton) July 3, 2023

Jason Scott-Railton, du Citizen Lab, conseille aux personnes potentiellement vulnérables d'opter pour un VPN de confiance, ou d'activer l'option « Toujours relayer les appels par le serveur Signal pour éviter de divulguer votre adresse IP à votre contact » (via les paramètres avancés de confidentialité de Signal, qui précise par ailleurs que « l'activation de cette option réduira la qualité des appels »). Le cryptographe Matthew Green note de son côté que ce type d'attaques avait été identifié en 2021, et appelle les messageries à se saisir du problème. 

De l'autoritarisme numérique made in China, Russia, Israel... & Cie

Citadel et Protei n'ont pas répondu aux demandes de commentaires du NYT. Un porte-parole de M. Usmanov a de son côté rétorqué que Citadel avait été revendue en 2022. 

VAS Experts a pour sa part déclaré au NYT que le besoin de ses outils avait « augmenté en raison de la situation géopolitique complexe » et du volume des menaces à l'intérieur de la Russie, qu'elle « développe des produits de télécommunications qui comprennent des outils d'interception légale qui sont utilisés par les agents du F.S.B. qui luttent contre le terrorisme », ajoutant que si la technologie « sauve au moins une vie et le bien-être des gens, alors nous travaillons pour une bonne raison ».

Les plaquettes de promotion consultées par le NYT montrent que ces entreprises chercheraient en outre à les exporter, notamment en Europe de l'Est et en Asie centrale, ainsi qu'en Afrique, au Moyen-Orient et en Amérique du Sud. 

En janvier, le Citizen Lab canadien, qui étudie et documente les logiciels espion et de surveillance utilisés par des États à des fins répressives, avait rapporté que l'équipement Protei était utilisé par une société de télécommunications iranienne pour enregistrer l'utilisation d'Internet et bloquer des sites web, ainsi que dans les zones ukrainiennes occupées par l'armée russe.

L'un des documents consulté par le NYT fait expressément référence à un « marché de l'écoute électronique » (« a wiretap market », en anglais), au sein desquels les entreprises russes chercheraient à se positionner. Un marché qui, cela dit, n'est pas réservé aux seuls pays autoritaires, mais également largement investi par des entreprises israéliennes et occidentales, comme nous l'avions documenté au sujet, notamment, du salon international ISS des marchands d'armes de cybersurveillance.

• Plus de 80 pays ont acheté des logiciels espion et de cyberintrusion

Adrian Shahbaz, vice-président chargé de la recherche et de l'analyse au sein de l'ONG états-unienne de défense de la démocratie Freedom House, qui étudie les systèmes d'oppression en ligne, déclare pour sa part au NYT qu'il s'attend à ce que les entreprises russes finissent par devenir des rivales des fournisseurs habituels d'outils de surveillance : 

« La Chine est le summum de l'autoritarisme numérique. Mais il y a eu un effort concerté en Russie pour réviser la réglementation de l'Internet du pays afin qu'elle ressemble davantage à celle de la Chine. La Russie émergera en tant que concurrent des entreprises chinoises. »