Bienvenue sur Reflets

Envie de connaître les coulisses ?

C'est encore un peu calme pour le moment mais il est probable qu'en accédant à cette zone, vous ne perdiez pas votre temps

Member Login

Lost your password?

Not a member yet? Sign Up!

Microsoft et Ben Ali : Wikileaks confirme les soupçons d’une aide pour la surveillance des citoyens Tunisiens

4 septembre 2011
Par

Près de six mois après que l’affaire ait été publiée dans Rue89 et savament étouffée par les services de Microsoft, et à peine une semaine après la promotion de la principale instigatrice, alors DG de Microsoft Tunisie, Salwa Smaoui, l’affaire de l’aide apportée par Microsoft dans l’espionnage de la population Tunisienne rebondit. C’est la publication d’un câble Wikileaks issu de l’ambassade américaine de Tunis, qui conclu un long exposé concernant le contrat que nous avions fait fuiter avec le même constat : derrière ce contrat se cache un deal entre le géant de Redmond et le gouvernement de Ben Ali, destiné, entre autres choses, à espionner la population Tunisienne (et accessoirement, à étouffer le logiciel libre).

A sa décharge, il semble que malgré ses prises de positions incessantes en faveur de la révolution depuis le 15 janvier, l’ex directrice générale de Microsoft Tunisie (en photo ci dessus) ait un peu de mal à se regarder dans la glace le matin (ou le soir, visiblement).

Petit résumé des faits

Le 18 mars 2011, au lendemain de l’annonce – pour des raisons de moins en moins mystérieuses – de la fermeture de ReadWriteWeb France – son éditeur (moi) publiait dans Rue89 un article  dénonçant la complicité de Microsoft dans l’espionnage de la population Tunisienne à travers ce que Salwa Smaoui décrit elle même comme « un marché win-win » auprès de l’ambassade américaine : Microsoft obtient l’arrêt des initiatives liées au logiciel libre au sein du gouvernement Tunisien et la mention explicite de Microsoft dans la loi de finance Tunisienne, en contrepartie le gouvernement Tunisien obtient la possibilité, via une autorité de certification qu’il contrôle, de réaliser des contrefaçon de certificats SSL lui permettant de voler les identifiants et les mots de passe des citoyens Tunisiens à travers de fausses pages Gmail, Facebook, Live.com, etc.

Slim Amamou avait dès juin 2010 découvert le piège sans que nous ne soupçonnions, à l’époque, la possibilité d’avoir également à faire à des certificats SSL contrefaits. Google, mis au courant avant même la publication du billet d’Amamou sur ReadWriteWeb France, avait réagit dans la journée en passant la totalité du pays en https. Peine perdue : même en imposant le chiffrement, le gouvernement, grâce à Microsoft, pouvait dérober les logins et les passwords des citoyens Tunisiens afin de lire leur correspondance, repérer leurs amis et les réseaux d’activistes, voir même prendre la parole à leur place.

Les anecdotes de comptes piratés sous Ben Ali où des personnalités prenaient du jour au lendemain le parti du président déchu, et plus grave, durant la révolution, où de nombreuses personnes ont vu leurs comptes espionnés afin de déjouer les plans en cours s’expliquent en un simple mot : Microsoft.

Les plus experts d’entre vous pourrons se reporter à cette explication technique issue de HackerNews qui détaille un stratagème assez similaire à celui qui prend place en ce moment en Iran, si ce n’est que celui-ci, contrairement à ce qu’il se passe en Iran, a été rendu possible grâce à la collaboration de Microsoft.

Le hasard faisant bien les choses (quand on lui force un peu la main), le contrat était publié deux jours après l’article de Rue89, montrant très clairement une surévaluation phénoménale du prix des licences vendues au gouvernement Tunisien destinée à masquer le prix d’une collaboration avec la dictature dans la répression numérique, ainsi que, explicitée de façon très détaillée, une formation intensive de la cyber armée de Ben Ali.

Ce qui s’en était suivi n’en était pas moins stupéfiant : en France comme en Tunisie, aucun média n’a repris l’affaire, malgré des preuves flagrantes, de nombreux blogs Tunisiens ont immédiatement ouvert leurs colonnes à Microsoft afin de leur donner la parole pour dénoncer sans le moindre argument ce qu’il montraient du doigt comme une diffamation (ils n’ont évidemment jamais attaqué qui que ce soit devant un tribunal). Les plus geeks se souviennent peut être de l’interminable billet du directeur technique et sécurité de Microsoft France, Bernard Ourghanlian, qui grosso modo, ne niait en rien les accusations de l’époque et se contentait de tenter de noyer le poisson dans un déluge de détails techniques.

L’ambassade Américaine en remet une couche

Cette fois-ci, c’est le gouvernement américain que Microsoft va devoir faire taire, ou accuser de diffamation, car le long câble envoyé le 22 septembre 2006, un peu plus de deux mois après la signature du contrat entre Microsoft et le gouvernement Tunisien est sans appel.

Après avoir rappelé à plusieurs reprises à Washington qu’il leur avait été impossible d’obtenir les termes de l’accord, regretté le manque de transparence de Microsoft, et avoir abondament décrit la façon dont Microsoft avait travaillé à tuer toute véléité pour le logiciel libre en Tunisie, l’ambassadeur conclu son télégramme en faisant part d’un très fort soupçon de corruption avec la famille Trabelsi par l’intermédiaire d’une fondation caritative appartenant à Leïla Trabelsi, ainsi que par ces mots terrifiants :

« il est à se demander si cela ne va pas accroître la capacité du Gouvernement Tunisien en matière de surveillance de ses propres citoyens. Finalement, pour Microsoft les bénéfices l’emportent sur les coûts. »

Depuis le 14 janvier, Microsoft a obtenu, quitte à l’offrir, l’informatisation de plusieurs structures nées après la révolution, et il serait d’une naïveté stupéfiante de s’imaginer que la société soit devenue, du jour au lendemain, honnête.

Les sociétés du secteur IT complices des dictatures sont cependant dans une situation bien plus délicate aujourd’hui qu’au lendemain de la révolution Tunisienne : CISCO est sous le coup d’un procès aux Etats-Unis pour avoir aidé la Chine à traquer ses dissidents, Bull est en trés mauvaise posture sur le dossier Libyen  et grâce à une collaboration entre Reflets.info, Telecomix, Fhimt.com et l’Electronic Frontier Foundation, Bluecoat devrait subir lui aussi les foudres de la justice aux Etats-Unis pour sa participation à la répression en Syrie. Le prochain sur la liste sera-t-il Nokia pour ses agissements au Barhein ou Microsoft en Tunisie ?

C’est désormais à la justice américaine d’en décider, à moins que la Commission Nationale d’établissement des faits sur les affaires de malversation et de corruption Tunisienne de Abdelfattah Amor (photo ci dessus) ne la prenne de vitesse : elle est chargée d’une enquête sur ce fameux contrat, mais – le hasard faisant bien les choses – elle a été équipée par Microsoft, ce qui laisse planer beaucoup de doutes quand à l’issue de cette enquête. Le premier ministre Tunisien, Béji Caïd Essebsi, aurait lui signé, dès son intronisation en mars dernier, un nouveau contrat entre Microsoft et l’Etat Tunisien censé régler Microsoft pour ses travaux effectués sous l’ère Ben Ali.

Il est à noter que Microsoft – sans que cela n’implique de collaboration équivalente pour autant – a passé des contrats concernant des autorités de certification nationales étrangement similaires avec la Turquie, Israël et la France. Microsoft est par ailleurs également accusé de corruption en Jordanie et tout cela ne semble être que le début d’une très longue série de révélations sur les pratiques de la firme de Redmond.

Billets en relation :

Tags: , , ,

34 Responses to Microsoft et Ben Ali : Wikileaks confirme les soupçons d’une aide pour la surveillance des citoyens Tunisiens

  1. [...] Microsoft et Ben Ali : Wikileaks confirme les soupçons d’une aide pour la surveillance… [...]

  2. Marin on 4 septembre 2011 at 16 h 08 min

    Comment les gens qui utilisent Windows peuvent-ils encore se regarder dans un miroir ?

    • Fabrice Epelboin on 4 septembre 2011 at 16 h 17 min

      la plupart n’ont aucune idée de tout ça, et pour ce qui est de ceux qui utilisent Windows dans des dictatures, ils ne soupçonnent pas un instant les risques qu’ils prennent :(

    • Zorglomme on 4 septembre 2011 at 16 h 38 min

      Parce qu’ils ont encore des yeux en ne les usant pas sur des lignes de code chiatiques simplement pour afficher un répertoire :ninja:

      • Marin on 4 septembre 2011 at 17 h 24 min

        Tu sais, il existe des interfaces graphiques pour Linux.

    • Coleo on 4 septembre 2011 at 19 h 32 min

      J’ose espérer que c’est un troll, parce que si tu es sérieux ton commentaire est assez lamentable.

      • Marin on 4 septembre 2011 at 21 h 00 min

        Oui, c’est un troll :)

  3. Inny on 4 septembre 2011 at 16 h 47 min

    Merci beaucoup pour cet article, c’est atterrant…
    Business is business, disent-ils, mais ça me donne la nausée.
    Tant que l’argent rentre, des opposants peuvent être arrêtés, torturés, exécutés ou jetés en prison, ils n’en ont rien à faire.

    • Baronsed on 4 septembre 2011 at 20 h 00 min

      Je n’avais que deux envies, en lisant cela : vomir (sur billou) et hurler.

  4. Iv on 4 septembre 2011 at 17 h 00 min

    Je sais pas quoi dire, c’est un argument fort contre la firme de Redmond. Ça donne des arguments techniques et des arguments moraux pour ne pas utiliser leurs produits, même gratuits (Internet Explorer)

  5. Trust in Me on 4 septembre 2011 at 17 h 37 min

    Et puis, après l’histoire avec DigiNotar aussi…

    Moi, je crois que je vais aussi faire un peu de ménage dans les certificats SSL (ceux autorisés par défaut).

    C’est bien gentil que soient acceptés par défaut des certificats, mais il en suffit d’un seul pour réduire à néant tout le système (basé sur SSL). Et, plus ils sont nombreux, et plus la probabilité de pouvoir tomber sur un certificat falsifié augmente !

    • Daniel 67 on 4 septembre 2011 at 21 h 12 min

      Oui. Le problème étant que le ménage n’est pas à la portée de tout le monde. Y compris d’utilisateurs « avertis »… qui se penchent au final assez peu sur la question des certificats, des autorités qui les délivrent… sauf au moment de se connecter au site des impôts !

      (accessoirement, je trouve de plus en plus que Balmer a une tête « d’idiot du village ». Faut croire qu’il cache bien son jeu, ou qu’il est bien entouré, au choix))

      • Fabrice Epelboin on 4 septembre 2011 at 21 h 19 min

        Je confirme, même pour un utilisateur averti, ça demande beaucoup de travail de recherche. J’en avais rencontré un qui avait commencé ça après avoir découvert l’affaire Microsoft et qui a fini par laisser tomber faute de temps. Il y a quelque chose de pourri au royaume des autorités de certification.

        Saluons – une fois n’est vraiment pas coutume – l’attaque DDoS faite par Anonymous sur l’autorité de certification Hollandaise qui avait permis au gouvernement Iranien de faire grosso modo la même chose que ce que Microsoft a fait avec Ben Ali. Pour le coup, le DDoS me semble une réponse appropriée (ce qui à mon sens n’est quasiment jamais le cas).

      • lildadou on 4 septembre 2011 at 22 h 17 min

        C’est à hurler de voir des autorité de certifications signer des faux! Quelqu’un peut m’expliquer à quoi elle servent sinon à justement authentifier d’autres certificats !?

        Et pendant ce temps CaCert n’est toujours pas installé par défaut dans le trousseau Mozilla… (du coup j’utilise les Class1 gratuit de StartSSL)

      • Trust in Me on 5 septembre 2011 at 0 h 20 min

        C’est clair que « faire le ménage » dans les certificats SSL installés dans sa machine, ce n’est pas évident…

        J’aurais envie de dire : comme pour un pare-feu, on bloque tout et ensuite on ajoute des exceptions. Mais, à vrai dire, je ne sais pas trop. Il faudrait avoir des critères pour choisir. Et que faire si on savait qu’une autorité de certification n’était pas digne de confiance, mais que ce sont les certificats issus de cette autorité qui sont imposés pour pouvoir communiquer de manière « sécurisée » ?

        Et puis moi, ce qui me surprend vraiment, c’est cette sorte de silence de la « communauté des autorités de certification » ! Je ne suis pas un spécialiste, mais je ne comprends pas que ça ne « gueule » pas plus chez les autorités de certification. Parce que c’est vrai, si je ne me trompe pas : à chaque fois qu’une autorité (que ce soit Microsoft, DigiNotar, etc.) falsifie des certificats, ça réduit à néant la totalité du système. Il me semble que, quand une autorité falsifie, c’est l’ensemble des autorités qui est concerné. Sinon, qu’est-ce que ça signifie ?

        Est-ce que c’est un peu comme l’utilisation faite par certains des « certifications Qualité » : ça a une « signification technique », mais c’est tout. Est-ce qu’il ne faudrait pas qu’il y ait un « label » pour les autorités de certification qui ont un comportement responsable, qui sont dignes de confiance, etc. ? Et évidemment, le seul et unique but de ce « label » sera d’exclure toute autorité qui risquerait de compromettre la confiance (en émettant des certificats falsifiés par exemple).

  6. Daniel on 4 septembre 2011 at 21 h 26 min

    Et si il n’y avait que microsoft. Tout les grands de ce monde (économiquement parlant je veux dire) sont quasi tous coupable de tel ou tel crime. Sérieux ça leur arrive d’avoir une conscience des fois ?
    « Monde de merde »

  7. [...] Microsoft et Ben Ali : Wikileaks confirme les soupçons d'une aide pour la surveillance des c… Près de six mois après que l'affaire ait été publiée dans Rue89 et savament éto… Source: reflets.info [...]

  8. [...] prèS de six mois après que l'affaire AIT été publiée dans Rue89 et savament étouffée par LES services de Microsoft, et à peine une semaine après la promotion de la principale instigatrice, alors DG de Microsoft Tunisie, Salwa Smaoui, l'affaire … « Microsoft » – Google Recherche de blogs [...]

  9. Fabrice Epelboin on 5 septembre 2011 at 0 h 45 min

    @Trust in me

    oui, il faudrait faire un grand ménage, mais ça m’a l’air très compliqué. J’en avait longuement parlé avec un spécialiste qui considérait que c’était les écurie d’Augias et qu’à défaut d’avoir un Hercule sous la main…

    Un plugin dans le navigateur pourrait peut être apporter un début de réponse et faire office de label de qualité… Il faudrait que quelqu’un se saisisse de ça. Peut être un truc à proposer à l’EFF, ils ont fait un super boulot avec HTTPS everywhere, même si techniquement, c’est bien plus simple, c’est dans le même esprit…

  10. [...] Microsoft et Ben Ali : Wikileaks confirme les soupçons d'une aide pour la surveillance des c… [...]

  11. [...] Microsoft et Ben Ali : Wikileaks confirme les soupçons d'une aide pour la surveillance des c… [...]

  12. justeunequestion on 5 septembre 2011 at 10 h 20 min

    « Peine perdue : même en imposant le chiffrement, le gouvernement, grâce à Microsoft, pouvait dérober les logins et les passwords des citoyens Tunisiens afin de lire leur correspondance, repérer leurs amis et les réseaux d’activistes, voir même prendre la parole à leur place. »

    Hormis les faits qui montrent que cela c’est bel et bien produit, cette affirmation laisse à penser que des backdoors micro$oft sont opérationnelles et exploitées. Existe-t-il des preuves ou juste des suppositions ? Est-ce que ce ne serait-pas plutôt de simples hack ?? (vu les centaines de failles)

    Reste le débat sur « le fait de laisser autant de failles équivaut à laisser de nombreuses backdoors », mais le détail a son importance vu le nombre de postes windows dans le monde…

    • Fabrice Epelboin on 5 septembre 2011 at 10 h 26 min

      Heu… non, pas de backdoor à proprement parler, juste le fait que les Tunisiens aient, pour pouvoir utiliser l’eadministration notamment, mais également les postes de travail au sein de l’administration et dans de nombreux endroits, aient été obligé de passer par Explorer, que celui ci accepte sans rien dire l’autorité de certification Tunisienne, qu’il recharge sans rien dire les certificats au cas où on les aurait retiré, et qu’en couplant ce fait avec du DNS poisening (cf billet d’Amamou de juin 2010 sur RWW), on peut très facilement faire du phising, https ou pas.

      Donc oui, c’est ‘un simple hack’ mais un hack qui n’aurait pas été possible sans cette arnaque sur l’autorité de certification Tunisienne, l’imposition des logiciels Microsoft partout, et très certainement une formation intensive fournie par Microsoft à la cyber armée Tunisienne.

  13. Okram on 5 septembre 2011 at 12 h 50 min

    Waouh… C’est juste incroyablement vil et infect.

    Voilà qui me conforte sur deux points:
    1. Tout a un prix.
    2. Les sociétés, quel que soit leur domaine d’activité, n’ont pas de conscience.

    Ce qui compte ce sont la croissance du CA et le bénéfice par action à la fin de l’année et rien d’autre.

    La question que je n’arrive pas à résoudre est la suivante : les entreprises sont composées d’individus ayant chacun une conscience de ce qui est ‘bien’ ou pas. Comment se fait-il qu’au sein de l’entreprise tout cela disparaisse ? Est-ce dû à l’effet mis en évidence par Milgram au débût des années 1960 ?

    • Fabrice Epelboin on 5 septembre 2011 at 13 h 23 min

      Attention, hein, on n’est pas du tout dans le cas de Bull, on est dans les malveersation faites au sein d’une dictature bien installée. La DG de Microsoft qui a mis en place le deal était adolescente quand Ben Ali est arrivé au pouvoir, elle a vécu toute sa vie d’adulte dans un monde intégralement corrompu, et elle est issue d’un milieu modeste apparemment, avec comme ‘modèle’ de réussite, Leila Ben Ali/Trabelsi, coiffeuse de son état. Milgram lui s’intéressait au déviance dans un petit groupe, là c’est autre chose…

      Sinon, pour fréquenter Google régulièrement, ce ne sont pas des saints, mais cette baseline ‘don’t be evil’, même s’il n’est pas toujours respectée, est tout de même un garde fou assez interessant. Tout le monde y est conscient quand une ligne jaune est franchie là où dans d’autres boites, la dérive doit pouvoir se faire de façon plus douce et discrète…

  14. AP on 5 septembre 2011 at 13 h 54 min

    Pas « forgé » : « contrefait ». La traduction trop rapide de « forged » en « forgé » produit des trucs qui ne veulent plus rien dire.

  15. KRISS on 5 septembre 2011 at 14 h 10 min

    N’oublions pas que Sarkozy a remis à la légion d’honneur à Balmer ! Un type pourtant pas réputé pour sa compétence, même chez Microsoft ! Alors, ils ont donné quoi en échange ? (car en ce bas monde, rien n’est gratuit et surtout pas avec Microsoft )

  16. [...] bien c’est confirmé: Microsoft a inséré ce certificat pour le compte du gouvernement tunisien en toute connaissance [...]

  17. [...] by jdossogne Microsoft et Ben Ali : Wikileaks confirme les soupçons d’une aide pour la surveillance des citoye…. [...]

  18. Tahar JEBARI on 8 septembre 2011 at 11 h 23 min

    Microsoft a violé impunément les entreprises tunisiennes avec la bénédiction du gouvernement. En contrepartie de quoi ? De quelques déclaration et visites de responsables de Microsoft, et de projets « poudre aux yeux » initiés par cette entreprise.
    Une démonstration éloquente que les les autorités américaines et leurs entreprises n’ont aucun scrupule à s’adapter aux usages des gouvernements, soient-ils non démocratiques.

    • Fabrice Epelboin on 8 septembre 2011 at 16 h 16 min

      Honnêtement, si tu lis le cable, les autorité américaine sont très clairement choqués de l’attitude de Microsoft et ont essayé de savoir ce qu’il en était mais n’ont pas réussi à obtenir le contrat que Microsoft a obstinément refusé de leur fournir. Ce ne sont pas des anges, hein, mais sur ce cas précis, il est difficile de les incriminer.

  19. Flattrages de Septembre 2011 | Le Codex Gnoufique on 3 octobre 2011 at 22 h 02 min

    [...] sur ses logs : Amesys, je te vois Deep Packet Inspection : pourquoi le cas libyen nous dérange Microsoft et Ben Ali : Wikileaks confirme les soupçons d’une aide pour la surveillance des citoye… Dis tonton Sam, tu peux pas éteindre Al Jazeera s’il te plaît ? Amesys nettoie Facebook S’il [...]

  20. lincruste on 20 octobre 2011 at 11 h 20 min

    @zorglomme
    Hahaha! Dixit le mec qui créée des topics sur CPC pour qu’on lui explique quelle case cocher dans FRAPS !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Evènements

Polls

Amesys, c'est...

View Results

Loading ... Loading ...

QR

qrcode



Technos