Anne-Marie El-HAGE
Révélé au grand jour avant-hier, le rapport « Dark Caracal » souligne l’implication de la Sûreté générale libanaise dans une affaire de cyberespionnage menée depuis 2012 sur des téléphones mobiles notamment équipés du système d’exploitation Android. Une affaire conduite sur 21 pays, le Liban y compris, exception faite de l’Iran et d’Israël. Silence radio hier de l’institution sécuritaire étatique concernée, après un démenti publié la veille par son directeur, le général Abbas Ibrahim, qui avait toutefois précisé que « la SG n’a pas les moyens qui lui sont attribués », mais qu’elle « aurait bien voulu les avoir ».
C’est en revanche du ministre de l’Intérieur, Nouhad Machnouk, que sont venus les « aveux », lorsqu’il a déclaré hier que « le rapport n’est pas faux », avant d’ajouter toutefois qu’il est « très exagéré ». Publié par deux entreprises américaines basées à San Francisco, la compagnie Lookout, spécialisée dans la sécurité de téléphones mobiles, et l’association de défense des droits numériques, Electronic Frontier Foundation, ce rapport est matière à réflexion, à interrogations aussi.
Incompétence
Il est nécessaire de partir du principe que tout gouvernement peut pratiquer l’espionnage informatique, s’il en a les capacités et les moyens. Que la sécurité de l’État n’est pas une chose cachée. Qu’elle peut être active ou défensive. Et que « tous les services de renseignements pratiquent non seulement l’écoute et la surveillance informatique, autrement dit le vol actif d’informations, mais sponsorisent des cyberattaques si nécessaire, à l’échelle locale ou internationale », révèle à L’Orient-Le Jour un expert en cybersécurité qui a requis l’anonymat. Avec pour objectifs la lutte contre le terrorisme, la politique intérieure et extérieure aussi.
Il n’y a donc rien d’étonnant à ce que le pays du Cèdre le fasse. Lorsque le travail est bien fait, nul ne parvient à identifier la source d’une attaque informatique. Mais dans le cas de l’affaire Dark Caracal, « c’est une affaire d’incompétence », « de manque de professionnalisme », observe-t-il. Après avoir mené sa cyberattaque, la SG « n’aurait pas sécurisé son réseau » et « n’aurait pas effacé les traces de son travail ». Ce qui a permis de « localiser » l’organisation sécuritaire étatique, et d’en identifier l’adresse de façon précise, au carrefour qui relie la rue de Damas à la place du Musée, de même que les adresses mails utilisées, avec les noms (d’emprunt probablement) des utilisateurs. Le problème est que « les informations liées aux autorités libanaises sont à la portée de tous », constate l’expert. Mais il reconnaît en même temps que le rapport Dark Caracal « dit beaucoup de choses, sans toutefois tout dire ». « C’est comme si les enquêteurs ne voulaient pas divulguer la façon dont ils ont eu accès à ces informations, ni le sponsor qui est à l’origine de l’enquête », souligne-t-il.
C’est la deuxième fois que le pays du Cèdre est montré du doigt dans une affaire de cyberespionnage. Il y a deux ans, l’entreprise « Hacking Team » de sécurité informatique, qui vend des logiciels offensifs d’espionnage et de surveillance, et qui avait été chargée par les autorités libanaises de « vol d’informations » moyennant 2 millions de dollars US, avait elle-même été piratée, rappelle l’expert en question. Ce qui a permis de découvrir l’implication des autorités libanaises.
S’il est un fait avéré, c’est bien celui-ci : les services de renseignements libanais ont bien recours au cyberespionnage. Les propos du ministre de l’Intérieur viennent le confirmer. Mais cette fois, c’est par le biais des logiciels espions d’une entreprise allemande, FinFisher, qui travaille uniquement avec des États, qu’a opéré la SG, révèle le rapport « Dark Caracal ». À la SG d’en assurer l’exécution. Mais vu « le manque de sophistication des équipements », vu aussi « le manque de formation adéquate » des membres des services, vu enfin « le peu de budget » consacré au renseignement, l’affaire a été découverte et divulguée par les deux enquêteurs américains. « Ils ont probablement trouvé une indication qui les a alertés. Ils ont alors menée leur investigation », observe l’expert. « Cela est très embarrassant pour la Sûreté générale. »
Trop tôt…
Selon le rapport, plus d’un million de données ont été interceptées sur des téléphones équipés du système Android. Il faut dire que la plateforme développée par Google pour les téléphones mobiles est ouverte, et peut être utilisée par différentes marques de téléphone. Elle héberge ainsi des applications non protégées, qui contiennent des virus. Et ce contrairement à Apple, qui contrôle ses téléphones par son système IOS développé exclusivement pour l’IPhone. Il suffit donc pour l’utilisateur d’un mobile équipé du système Android de cliquer sur un lien contenant un virus, pour voir son appareil piraté à son insu par la technique de l’hameçonnage (phishing) et figurer sur la liste des victimes de la SG ou d’autres pirates informatiques.
Également contacté par L’OLJ, Khalil Sehnaoui, directeur partenaire de l’entreprise « Krypton Security » spécialisée en sécurité de l’information, tient des propos plus mesurés. « En lisant le rapport, on se dit que la SG libanaise mène des attaques partout, dans tous les sens », souligne-t-il. Mais il constate que « le rapport est flou », qu’« aucun document concret ne l’accompagne ». « On ne comprend pas qui est ciblé, ni comment », ajoute-t-il. « Sans oublier qu’au Liban, il n’existe pas d’adresses IP fixes. » L’expert doute, de plus, des capacités de la SG à mener « des opérations de cyberespionnage d’une telle envergure », même s’il est certain que « le cyberespionnage a bien lieu ». Vu le manque de moyens des autorités et le peu de formation des équipes. Et puis « les hackeurs talentueux se comptent sur les doigts », et sont « connus de la communauté spécialisée ». « J’estime qu’il est encore trop tôt pour se prononcer », conclut-il, refusant d’écarter la possibilité que l’affaire ne soit qu’une vulgaire campagne promotionnelle pour les deux enquêteurs américains. « Il est si facile de lancer les gens sur une fausse piste », dit-il.