Répliques plus importantes que le séisme lui-même, si l’on peut considérer que la mise à sac des serveurs d’une agence de cyber-mercenaires est un acte illégal mais pas totalement immoral.
La première réplique vient d’un des outils d’espionnage, ou plus exactement d’un exploit Flash utilisé par Hacking Team et analysé par Kafeine, exploit qui contraint Adobe de publier dare-dare un correctif ce jour même. Le code étant dans la nature, il est tout à fait logique qu’il se retrouve d’ores et déjà intégré dans certains « exploit pack » explique Kafeine, qui cite notamment Angler EK, Fiddler, Neutrino ou Nuclear Pack. Rarement rustine n’aura été plus nécessaire. Le Reg et Brian Krebs en titre sur 5 colonnes.
La seconde secousse est à la fois politique et éthique, et rappelle par certains aspects l’affaire Amesys : les différents gouvernements d’Europe peuvent-ils accepter que certaines de leurs entreprises puissent vendre des cyber-armes à des pays dont les pratiques entrent en totale contradiction avec les principes du Traité Européen, et ce plus particulièrement en matière de démocratie et lois sur la torture et les détentions arbitraires ? Une question écrite a été posée devant le Parlement Européen par Marietje Schaake (dep. Démocrate Néerlandaise) :
-> Peut-on accepter de voir livrer des outils pouvant servir à organiser des opérations de répression dans des pays qui sont généralement frappés par des embargos sur les armes ou dont les relations diplomatiques avec l’Europe font l’objet de certains désaccords ? Et de citer l’Azerbaijan, le Bahrain, l’Egypte, l’Ethiopie, le Kazakhstan, le Maroc, le Nigeria, la Russie, l’Arabie Saoudite, les Emirats Arabes Unis et l’Ouzbékistan, autant d’états listés dans les fichiers clients de Hacking Team.
-> La Commission Européenne a-t-elle été informée par le gouvernement Italien des échanges de l’entreprise en question, et plus particulièrement à propos de la Russie ou du Soudan, et ladite entreprise s’est-elle donnée la peine de vérifier si les contrats qu’elle allait signer étaient en accord avec les directives de la Commission (et par là même, Hacking-Team s’est-il inquiété des sanctions possibles, conséquence de ces contrats ?)
Se repose à nouveau la question d’un Wassenaar des cyber-armes. Ou, ce qui serait considérablement plus sain, d’un traité Européen de non-prolifération des outils de cyber-espionnage, traité qui ne soit inféodé ni au diktat des USA ni à celui des « five eyes ». Les révélations Wikileaks concernant les USA et les pays d’Europe laissent à penser que les accords Wassenaar pourraient ne pas toujours être totalement respectés.
La réplique numéro trois est considérablement plus amusante, et rappelle l’arroseur arrosé des Frères Lumière. Et c’est Schneier qui met le doigt dessus. Les outils de flicage vendus par Hacking Team sont agrémentés d’une porte dérobée, transformant du coup les surveillants en surveillés potentiels. Une version moderne et imprévue du « quid custodiet ipsos custodes » de Juvénal.
Il y a peu de chances, après une telle révélation, que le capital-confiance dont jouissait ce cyber-trafiquant de techno-armes puisse retrouver son lustre d’antan. « Faibles espoirs que l’entreprise puisse y survivre » conclut Schneier. C’est si difficile de convaincre un dictateur et de conserver amoureusement sa pratique, à grands renforts de petits services, de cadeaux et de ristournes…
…et si difficile d’admettre également que des démocraties acquièrent des outils de voyous et adoptent par la même des attitudes propres aux polices dictatoriales. Car la quatrième secousse tellurique pourrait bien venir du fichier-clients lui-même fait remarquer l’article signé FSLab publié sur le blog de F-Secure. La Malaisie, les USA, Singapour, Panama, le Mexique, l’Egypte, l’Equateur sont ou ont été des utilisateurs de ces logiciels d’espionnage.
La cinquième réplique passera probablement plus inaperçue. Car désormais, les multiples Ministères de l’Intérieur qui avaient l’habitude de faire leur marché sur les étals gris du business de l’exploit vont devoir se mettre à « auditer » à la fois fournisseurs et niveau de qualité des produits vendus.