Le Chaos Computer Club (CCC), une association de hackers basée en Allemagne, à publié la preuve d’utilisation par le gouvernement d’un programme informatique d’espionnage, ce qui a provoqué un grave scandale au plus haut niveau.

Le programme d’espionnage mentionné dans la publication a été découvert sur l’ordinateur portable qui appartenait à la personne soupçonnée d’exporter illégalement des produits pharmaceutiques. Le logiciel aurait été installé au cours du contrôle douanier à l’aéroport.

Ce programme capture les URL des sites web visités et les communications par e-mail et envoie ensuite les données collectées au serveur distant, se trouvant, vraisemblablement, à l’extérieur du pays. En outre, il permet à l’opérateur de charger et de lancer n’importe quelle application sur l’ordinateur distant.

Joachim Hermann, Ministre de l’Intérieur de Bavière, a confirmé que les autorités nationales de ce pays utilisaient les logiciels espions depuis le 2009, mais a refusé de fournir des exemples concrets. A son avis, cette pratique n’était contraire à aucune des lois, bien que ce problème fasse encore l’objet de nouveaux débats. Les autorités de trois autres lands (Baden-Württemberg, Brandenburg et Niedersachsen) ont également confirmé qu’ils utilisaient un logiciel pareil.

En réponse à la réaction furieuse du public, certaines autorités influentes ont été obligées de commenter la situation.

Le ministre de la Justice de l’Allemagne, Sabine Leutheusser-Schnarrenberger, et la Chancelière Angela Merkel ont exigé qu’une enquête approfondie de l’incident soit menée. Le résultat de cette enquête doit mettre en place un mécanisme visant à protéger les droits des citoyens à la vie privée.

Par conséquent, la législation de l’Allemagne relative à l’utilisation de logiciels espions peut changer considérablement dans un proche avenir.

Karsten Nohl, expert allemand en sécurité des réseaux et cryptographie, a annoncé d’avoir découvert une technique relativement simple d’interception et de décryptage des données transmises via le protocole GPRS.

Son équipe a également découvert que de nombreux opérateurs mobiles utilisent la variante de basse sécurité de GPRS, alors que certaines d’entre eux désactivent complètement le cryptage du trafic GPRS.

Il peut y avoir deux raisons à l’origine de cette attitude ignorante des opérateurs mobiles à la sécurité des données de leurs clients:

• Tentative d’économiser sur l’équipement nécessaire pour la protection adéquate de données.
• Désactivation volontaire du cryptage de données afin de conserver l’accès aux données des clients.

Karsten Nohl déclare que cette découverte est loin d’être théorique: son équipe a pu capturer et décrypter les données dans les réseaux T-Mobile, O2 Germany, Vodafone et E-Plus. Ce qui aggravait la situation, c’est qu’ils n’ont pas dû utiliser des équipements encombrants (ils utilisaient le téléphone Motorola C-123 reflashé) ou logiciels coûteux (ils ont utilisé uniquement des gratuiciels accessibles au public). Même dans ce cas, ils ont réussi à capturer les données dans un rayon de 5 km.

Les détails sur cette technique n’ont pas encore été publiés pour éviter les dommages aux clients des entreprises de téléphonie cellulaire. Le groupe de recherche estime qu’il est grand temps que les opérateurs mobiles fassent leurs devoirs et configurent leurs passerelles GPRS et contrôlent tous les systèmes cryptographiques, puisque la méthodologie qu’ils utilisaient sera rendue publique sous peu.

Cependant, les opérateurs russes n’ont pas tardé à réagir: selon “Les trois grands ” (Beeline, Megafon, MTS), ils ne voient pas comment cela pourrait compromettre la sécurité de leurs clients et suggèrent d’utiliser les technologies mieux protégés, tells que 3G.

Il existe depuis longtemps des rumeurs selon lesquelles la norme de téléphone mobile GSM (ou les appareils eux-mêmes) contiendrait des fonctionnalités non documentées. Cependant, jusqu’à présent, cette technologie n’a jamais été utilisée par des services spéciaux pour la collecte d’informations, dans aucun pays dans le monde.

C’est logique. La technologie deviendrait inutile si les criminels étaient au courant.

Cela devait cependant se produire un jour ou l’autre. Au début de cette année s’est déroulé le premier procès où des données de localisation par GPS, obtenues par des fonctionnalités non documentées du téléphone mobile, ont été utilisées comme preuve. Une demande secrète a été envoyée par l’opérateur de téléphonie mobile aux téléphones, qui a ensuite envoyé leurs coordonnées à l’opérateur. Les rumeurs sur cette possibilité sont donc confirmées.

Comme on pouvait s’y attendre, cette technologie secrète n’a pas été utilisée contre des petits fraudeurs, des contrevenants aux droits d’auteur ou des pédophiles, mais dans le cas d’une grave menace à la sécurité nationale.

Au début de l’année, aux Pays-Bas, 12 immigrants somaliens clandestins ont été arrêtés dans sept endroits différents de cette manière. Quatre d’entre eux planifiaient une attaque terroriste dans le pays. L’accès aux données privées de l’accusé a été autorisé par une ordonnance du tribunal.

Selon le ministre fédéral de l’Intérieur allemand Thomas de Maizière, un nouveau département pour la protection des ressources internet, le Centre national de cyberdéfense, sera créé au premier semestre de cette année.

Ce centre sera géré par le Département de la sécurité des TI (BSI), qui réalise déjà des fonctions similaires.

Ce projet a d’abord été discuté au cours de l’été 2010, lorsque le virus Stuxnet a été découvert. L’attaque par un virus sur l’Iran n’a pas eu d’incidence sur l’Allemagne, mais ce fut suffisant pour que les autorités se rendent compte que les infrastructures du pays n’étaient pas préparées à une telle menace.

Il a été proposé que le Centre national de cyberdéfense soit investi de l’autorité par les agences de renseignement et par la police, afin de lui donner une plus grande aptitude à lutter contre les attaques de pirates. Notons que de tels pouvoirs ont déjà provoqué un grand nombre de débats politiques. Par exemple, le Parti libéral-démocrate d’Allemagne a fait valoir que la création d’un corps avec un tel éventail de pouvoirs est contraire à la loi.