Le réseau de téléphonie mobile iranien a trahi ses utilisateurs pendant la révolte réprime de l’année dernière. Nous avons pu nous procurer l’un des systèmes de surveillance que Nokia Siemens Networks a vendu à l’Iran. Quelle relation avec les gadgets européens?
[ 1er Mars 2010 ]
”Recueillir des données d’interception est un processus qui se passe à l’arrière-plan en s’assurant que la cible interceptée (l’utilisateur final) ne soit jamais au courant d’une interception possible” décrit le manuel. ”Le nombre maximum de sessions actives d’interception simultanées est de 50.000”
Les officiers de police de Téhéran ont lu ce manuel. Il a atterri entre mes mains par la bande.
”Portail Nokia d’Interception Légale” annonce la couverture. C’était une rumeur depuis longtemps. Nokia Siemens Networks a fourni à l’Iran du matériel de télésurveillance dont j’ai essayé de trouver les détails depuis l’été dernier. L’un des produits que NSN a fourni à l’Iran a fuité jusqu’à Fifi. Ce système permet exactement le type de surveillance dans lequel NSN a nié sa participation.
Ca semble mauvais. Ce système donne aux autorités de larges possibilités pour suivre l’usage des portables et de l’Internet mobile par les citoyens.
Mais ce n’est pas illégal. Des systèmes similaires surveillent également nos propres télécommunications. La question, ce n’est pas l’Iran mais plus largement ce qui est permis en général dans les réseaux. Qui les contrôle?
”On a eu l’impression, au niveau international, que nous leur [Iran] avons fourni un équipement de surveillance d’Internet, mais ce n’est pas vrai” avait assuré Lauri Kivinen, Directeur des grands comptes de NSN au quotidien finnois Helsingin Sanomat le 20 février.
Cependant, la surveillance rendue possible par le Nokia Lawful Interception Gateway (LIG) s’étend à l’Internet mobile. Ou bien Kivinen mentait ou l’étendue de ses connaissances sur les compétences de sa société n’est pas à la hauteur.
”Apparemment, cela permet la surveillance, l’enregistrement, la restitution et une recherche complète de tout le trafic du réseau” a commenté un professionnel de l’IT que j’avais invité à étudier le logiciel NSN.
Page 17 du manuel de description du produit, il y a un schéma du système de surveillance. Les points d’interception sont représentés par des carrés rouges. Depuis ces points, l’information est transmise à l’administration du réseau. Sur le côté, 3 icônes de personnages, un surveillant, un juge et un officier de police, surveillent le processus.
Le rôle du juge est d’accorder la permission de surveiller. L’administrateur lance et stoppe les processus de surveillance. L’officier de police étudie les appels téléphoniques, les messages et le trafic sur Internet inclus dans le processus. Le surveillant vérifie qu’il n’y ait pas d’usage illégal.
Les produits Nokia contenant le matériel de surveillance sont listés dans le manuel de description du produit:
Nokia 2G/3G SGSN [Serving GPRS Support Node], Nokia GGSN [Gateway GPRS Support Node], Nokia Flexi ISN et Nokia CPS.
Quand l’Iran a acheté le Portail, le pays n’avait pas encore de réseau 3G. Plus tard, la 1ere licence de réseau a été attribuée à Zain, une société koweitienne. Zain coopère avec NSN pour le 3G au moins en Arabie Saoudite.
Donc, au moment de la vente, LIG n’aurait pas pu être utilisé pour surveiller l’Internet même s’il en avait la capacité, prête à être activée lors de la mise en place d’un réseau 3G.
”Les carrés rouges du schéma, les points d’interception, sont inclus dans tout le matériel réseau de Nokia. Il n’est pas nécessaire de grimper en haut d’une antenne pour l’installer. Il suffit d’utiliser le logiciel.”
Fifi est tombé par hasard sur l’affaire de télésurveillance de Nokia Siemens pendant l’été 2009, quand les élections en Iran, suspectées de fraude, furent suivies de manifestations massives et de répression sauvage. Les avocats des militants rapportèrent que la police avait utilisé la surveillance du téléphone et de l’Internet pour localiser les manifestants.
Les manifestations finirent par se tarir quand il devint évident que la technologie qui les avait rendues possibles s’était retournée contre ses utilisateurs.
Les dissidents iraniens en appelèrent à l’entreprise pour plus d’information. La connaissance des capacités de surveillance du gouvernement aurait pu sauver des vies.
Nokia Siemens Networks refusa de révéler ce qu’ils avaient vendu à l’Iran. ”Juste un petit plus” répétait sans cesse le bureau de relations publiques de l’entreprise quand on le questionnait à ce sujet. ”Je ne me souviens plus du nom pour l’instant” dit la directrice de la communication Riitta Mård. ”Rien à voir avec la surveillance de l’Internet”.
En fait, au moins trois systèmes distincts ont été exportés vers l’Iran. Nokia a bâti un réseau GSM qui a été fourni avec le système LIG que l’Iran a acquis et le LIG a été amélioré avec le ”petit plus” décrit par Mård. Mård se souvient maintenant du nom du système : Monitoring Center (PDF). C’est une plate-forme de test qui, suivant Mård, ne sert qu’à surveiller les appels vocaux.
Le choc causé par le commerce de NSN avec l’Iran venait principalement du centre de surveillance. Le problème réel semble maintenant être le LIG aux possibilités plus étendues.
Et c’est là que ça devient intéressant, même pour un utilisateur occidental de portable, normalement pas touché par les tempêtes politiques iraniennes. LIG, avec ses capacités étendues de surveillance, ou un système comparable d’un autre constructeur, surveille tous les réseaux mobiles vocaux et de données dans le monde, y compris ici, en Finlande.
En fait, c’est précisément à cause de nous, Européens que ces systèmes étendus de surveillance ont été d’abord légalisés puis obligatoires partout ailleurs dans le monde. L’Europe a été le fer de lance de la transition entre des méthodes réduites de surveillance et des systèmes étendus comme LIG et ses semblables qui enregistrent toutes les données des communications des cibles pendant la durée de la surveillance pour enquête ultérieure.
C’est donc le bazar. On reproche à NSN d’avoir vendu le centre de surveillance à l’Iran où le système a été indubitablement utilisé pour harceler les dissidents. Cependant, le centre de surveillance semble véniel comparé au LIG qui a une capacité de surveillance tellement immense qu’un gouvernement répressif n’a même plus besoin de rêver d’extensions.
NSN ne semble pas avoir enfreint la loi ou les règles d’exportation en livrant le LIG à l’Iran. Au contraire, il s’est plié aux exigences de l’institut européen des normes de télécommunications qui préconise l’extension du potentiel de surveillance des agences chargées de faire appliquer la loi. Les normes minimales de capacité de surveillance que l’UE exige des fournisseurs de télécommunication sont presque aussi larges que celles que procure Gateway.
La conscience de NSN ne semble cependant pas complètement tranquille. Autrement, pourquoi Lauri Kivinen aurait-il prétendu n’avoir pas livré de technologie de surveillance à l’Iran?
Personne ne sait combien de personnes ont été arrêtées pendant les manifestations de l’été dernier, combien ont été blessées et combien sont mortes. Les médias internationaux estiment que 150 manifestants ont été tués le jour le plus sanglant des manifestations. Cette journée continue d’apporter son lot de victimes: un nombre inconnu de dissidents attend encore que sa condamnation, la mort par pendaison soit exécutée.
”Personne ne savait à l’avance ce qui arriverait dans ce pays” a dit Lauri Kivinen à Helsingin Sanomat il y a une semaine. La raison de ce regain d’intérêt, le nouveau poste de Kivinen: il vient d’être nommé directeur général de l’entreprise de télédiffusion nationale YLE.
J’ai traduit la déclaration de Kivinen à l’utilisateur de Twitter Shariatmadari, un cinéaste militant de la démocratie qui avait commencé à enquêter sur l’affaire NSN dans son blog après les manifestations de l’été dernier.
”Depuis la ’révolution islamique’ de 1979, des dizaines de milliers d’étudiants, peut-être plus de 100.000 ont été exécutés ou ont disparu en Iran” a répondu Shariatmadari. ”Il est de notoriété publique que l’oligarchie iranienne est l’une des plus cruelles du monde. Monsieur Kivinen est-il ignorant au point de n’en avoir jamais entendu parler?”
Shariatmadari est particulièrement agacé quand Kivinen assure que la vente n’incluait pas de possibilité de surveiller Internet. Tout d’abord, parce qu’il ne croit pas que ce soit vrai; ensuite, parce qu’il pense que la surveillance du téléphone n’est pas davantage morale.
”Ils se concentrent sur ce qu’ils prétendent n’avoir pas fait pour atténuer ce qu’ils ne peuvent nier avoir fait. Supposons qu’ils n’aient pas fourni à l’Iran la surveillance d’Internet. Qu’en est-il de la surveillance des appels vocaux? N’est-ce pas suffisant pour les traiter d’inhumains?
Plus important, HS a demandé à Kivinen de choisir entre affaires et droits humains. ”Quand nous fournissons à l’Iran des réseaux GSM, c’est certainement bon à la fois pour les affaires et pour la paix” a répondu Kivinen. ”Le commerce est le meilleur précurseur de la paix. Là où il y a du commerce, il y a moins de guerre.”
”Certainement” a réagi Shariatmadari. ”Vous pouvez demander aux marchands d’armes et à leurs clients. Je ne vous conseille pas de demander aux marchands de systèmes de surveillance car il ressort des commentaire de Monsieur Kivinen que vous n’en obtiendrez aucune réponse logique.”
Le réseau mobile d’Iran a trahi ses utilisateurs pendant la révolte réprimée de l’année dernière. Nous avons mis la main sur les systèmes de surveillance que Nokia Siemens Networks a vendu à l’Iran. Quelle relation avec les gadgets européens?
Un peu plus d’une semaine avant la nomination de Kivinen, le parlement européen a voté une résolution condamnant sévèrement le contrat iranien de NSN Trois jours avant sa nomination, la lauréate du prix Nobel de la paix, Shirin Ebadi a exigé que la communauté internationale sanctionne NSN.
Beaucoup de journalistes d’YLE étaient contrariés de la nomination de Kivinen pour une bonne raison: le journaliste iranien Mahfarid Mansourian, fixeur attitré des journalistes d’YLE en Iran venait d’être arrêté à Téhéran. Après son arrestation, on a appris que Mansourian avait été emmené à la prison d’Evine spécialisée dans les prisonniers politiques. Mansourian, impliqué dans le mouvement écologique naissant en Iran, a été relâché depuis.
”Une entreprise ne peut pas agir comme la police mondiale. ” répète Riitta Mård comme elle l’avait dit il y a huit mois lors de notre conversation précédente. ”La communauté internationale doit établir des règles. Ensuite nous les suivrons.”
Je commence à comprendre Mård. Nous, Européens, avons accordé à nos propres autorités l’immense droit de surveiller nos propres communications. Maintenant, ces mêmes droits ont été accordés aux dirigeants de pays comme l’Iran. Est-ce une surprise qu’ils les utilisent maintenant?
”Dans les pays démocratiques, l’usage de système de surveillance est soumis à autorisation de la justice” me rappelle Shariatmadari. ”La vente d’armes est également légale mais supposons qu’un boutiquier vende une mitrailleuse à quelqu’un qu’il sait être un meurtrier? Je pense que c’est ce qu’a fait NSN avec l’Iran.”
Je regarde de nouveau le schéma du manuel LIG. Les trois icônes de personnages, un juge, un policier et un surveillant, observent calmement les lignes rouges représentant les flux de données capturés. Le manuel suppose que tout gouvernement utilisant le système demande scrupuleusement des permissions à ces trois sources indépendantes et respectueuses de la loi. L’Iran d’Ahmadinedjad ne semble pas fonctionner comme ça, et je suspecte NSN de le savoir. C’est peut-être pourquoi Lauri Kivinen a prétendu que leurs produits ne pouvaient pas être utilisés pour surveiller le trafic Internet.
L’une des députées européennes qui a exprimé son inquiétude sur la vente dans l’enceinte du parlement européen était Heidi Hautala. Les commentaires de Lauri Kivinen sur le sujet lui semblent inventés.
”Kivinen a dit au Helsingin Sanomat qu’ils ne savent même pas si leur matériel est actuellement utilisé pour la surveillance. Ce n’était pas un langage approprié pour Nokia ou pour le directeur général de notre entreprise publique de télédiffusion.”
Du point de vue de Riitta Mård, ce serait à Hautala et à ses collègues de prendre la responsabilité de définir les règles.
”Bien sûr nous pouvons discuter la création de règles de conduite globales contraignantes pour une responsabilité unifiée” répond Hautala. ”Mais c’est quelque chose que ces entreprises ne veulent pas faire. Pour commencer, il faudrait refuser de commercer avec les dictateurs.”
Le 1er mai 2010, Lauri Kivinen remplacera Mikael Jungner au poste de directeur général de l’entreprise de télédiffusion nationale YLE. Quand la nouvelle fut connue, le poste actuel de Kivinen n’était pas le principal sujet de polémique.
L’année dernère, Mikael Jungner refusa de punir les journalistes d’YLE pour un programme qui accusait le premier ministre finlandais Matti Vanhanen de corruption passive. Le président du groupe parlementaire du parti centriste de Vanhanen, Timo Kalli, a exigé la démission de Jungner quand l’émission n’a pas pu clairement prouver ses dires.
Quand Jungner, dont le contrat de 5 ans était terminé fut viré d’YLE, beaucoup y ont vu la revanche du parti centriste sur le directeur qui avait refusé de discipliner ses journalistes.
Le parti au gouvernement en Finlande dérouillait ses muscles sur les journalistes, c’est en tout cas l’impression que cela donnait. C’est peut-être pour ça que l’idée du nouveau directeur général d’YLE en relation avec le gouvernement répressif d’Iran, le pays où leur propre Mahfarid Mansourian languissait en prison, semblait particulièrement grotesque.
”Je ne vois pas les évènements en Iran comme un obstacle” plaisanta Mikko Alatalo, un parlementaire finlandais du parti centriste et membre du conseil d’administration d’YLE.
”L’entreprise de télédiffusion finlandaise est elle même une sorte d’organisation fureteuse, qui enquête par exemple sur les achats personnels des gens” a continué Alatalo mentionnant l’enquête d’YLE sur les dépenses du Premier Ministre.
Les entreprises ne sont pas des bonnes oeuvres. Elles font des bénéfices là où il n’y a pas de répercussions et des limites minimales. La morale de l’entreprise ne provient que de la pression extérieure: la publicité négative, le boycott des consommateurs, les règles commerciales. Je le comprends.
Cependant, NSN ne mérite pas l’absolution complète. Leur tendance à la confidentialité et aux querelles juridiques indique que l’entreprise sait qu’elle a des raisons d’être embarrassée.
Personnellement, je n’aime pas la vision selon laquelle toute communication électronique est enregistrée et les autorités en charge de la loi y ont accès le plus facilement possible. Même dans l’éventualité où j’aurais une confiance totale dans le gouvernement finlandais, il serait fou d’élargir cette confiance pour y inclure tous les gouvernements du monde et tous les futurs gouvernements de mon pays.
Mais c’est ce qui se passe: les droits incroyablement étendus de surveillance se répandent dans les dictatures à travers Nokia et ses concurrents.
L’expansion de la supervision officielle d’Internet semble être le but de l’UE exactement comme celui des plus grandes entreprises de télécommunication.
Pendant mon enquête sur les contrats de NSN en Iran, je suis tombé sur l’entreprise allemande Trovicor. C’est l’ancienne unité de solutions de renseignement de NSN qui s’est séparée de la maison mère au printemps 2009.
Trovicor vend et répare actuellement le système de surveillance et les autres solutions de renseignement que NSN vendait dans le passé, celles comme Intelligence Platform à large gamme. Elle a aussi hérité de la plupart du personnel-clé de NSN, des slogans du site Web et de la panthère aux yeux brillants de ses commerciaux. Elle a des bureaux à Munich, Dubai, Islamabad et Kuala Lumpur.
Les militants iraniens me demandent d’enquêter pour savoir si Nokia ou Siemens possède Perusa, la holding qui possède Trovicor en sous-main. J’ai payé avec la carte de crédit d’un collègue des extraits du registre du commerce allemand mais j’ai vite perdu la trace de la chaîne de propriété. J’ai attendu en vain le rappel téléphonique de Perusa; le bureau Trovicor prétend que tout son personnel est parti en voyage en même temps. La stratégie de publicité de ces deux entreprises est le silence total.
Trevicor est cependant plutôt bavard sur un sujet particulier. Jeudi dernier, 25 février 2010, Pawel Stefanek, directeur financier de Trovicor a parlé à Dubai au commerce haut et puissant de la surveillance lors de la conférence à l’ISS World MEA.
Qui devrait contrôler l’Internet, ai-je demandé au début de cet article. Trovicor, ancien département du renseignement de NSN a une réponse claire.
”Pendant des années, les canaux de communication commerciale (par exemple les réseaux téléphoniques) étaient soumis à la régulation et au contrôle des gouvernements” dit la première phrase du discours de Stefanek.
”Cependant, Internet, ses structures et ses applications décentralisées ont contraint les autorités à lutter pour garder leur accès légal à l’information qui est vital pour la résolution des crimes et leur prévention. Dans cette présentation, Trovicor soulignera un concept holistique de retour du contrôle d’Internet entre les mains où elles devraient se trouver: les agences de renseignement et d’application de la loi.”
Lire l’un des documents récupérés par Fifi: Nokia Lawful Interception Gateway Release 4 – Product Description (PDF). D’autres seront bientôt ajoutés.
Auteur : Hanna Nikkanen
Lien vers la version originale en Anglais : http://fifi.voima.fi/artikkeli/Technology-failed-Iran/3407
Traduction anglaise : Antti Jauhiainen.
Aucun commentaire:
Enregistrer un commentaire