Circles est une firme qui fournit des outils de mise sur écoute téléphonique. Ce type d'outil peut intercepter des conversations, des messages et la localisation d'appareils via le protocole SS7. L'entreprise a été rachetée en 2014 par NSO, une firme israélienne d'espionniciels ('spyware') focalisée sur l'abus de failles et accusée actuellement par Facebook de piratage de Whatsapp.

Le laboratoire de recherche canadien Citizen Lab sort à présent une liste de clients probables de Circles. Il y est arrivé, parce que les clients de ces outils utilisent un portail VPN spécifique de la firme de sécurité Check Point. Grâce à un vaste scan d'internet, le laboratoire a pu retrouver ce portail dans les adresses IP de quelque 25 pays. Comme Circles elle-même déclare ne vendre qu'à des gouvernements ('nation states'), cela signifierait que le gouvernement belge est aussi un client et utilise probablement un outil de Circles pour mettre sur écoute certains téléphones.

Deux adresses IP belges

Data News a tenté de découvrir l'organisation à l'arrière des adresses IP et, ce faisant, a rencontré quelques bizarreries. Une adresse est d'un client de Telenet, et l'autre d'un client de Proximus. Cette dernière adresse renvoie assez singulièrement à Winterthur, un groupe d'assurances racheté par Axa il y a plus de dix ans déjà.

Mais le lien vers Axa ne mène à rien, car l'entreprise utilise aujourd'hui d'autres adresses IP que celle mentionnée par Citizen Lab. Si le client était réellement Winterthur/Axa, il serait plus facile à identifier.

En même temps, les adresses IP, où tourne le portail Check Point, possèdent un certificat pas vraiment correct et qui ne donne aucune information sur le propriétaire. S'il s'agissait d'une banque ou d'une entreprise légitime (qui veut par exemple exécuter des tests de sécurité avec des outils de Circles), le certificat serait pourtant conforme. Voilà qui indique que l'organisation à l'arrière des adresses IP tente de dissimuler sa véritable identité.

Une source digne de foi de la rédaction, sachant comment fonctionnent les services de sécurité, nous explique que la situation ne prouve pas que c'est l'adresse IP d'un service de sécurité belge. Mais le modèle est similaire. C'est ainsi que les services de police disposent également de connexions de Telenet et de Proximus, afin d'utiliser des services internet sous le 'déguisement' d'un utilisateur particulier. Le fait qu'il y ait deux adresses des deux plus importants fournisseurs de notre pays qui soient liées à Circles, semble aller dans le sens de cette pratique.

Une piste de réflexion possible qui expliquerait la référence à Winterthur, c'est qu'il s'agisse bien d'un service de sécurité utilisant une ex-adresse IP de Winterthur, mais n'ayant pas été adaptée dans les registres publics.

Comment Circles met-elle les téléphones sur écoute?

Selon Citizen Labs, Circles met les téléphones sur écoute via SS7 ('Signaling System 7'). Ce protocole existe depuis 1975 déjà et est utilisé par des opérateurs pour s'échanger des informations sur les communications téléphoniques.

Mais SS7 est loin d'être sûr. A l'époque, le nombre d'opérateurs télécoms était limité. Comme tous les acteurs se connaissaient, aucune authentification n'était prévue sur ce protocole. Aujourd'hui, d'autres protocoles sont utilisés, même si SS7 existe encore et toujours pour une question de compatibilité avec d'anciens appareils ou réseaux. Selon Citizen Lab, c'est surtout sur les réseaux 2G et 3G qu'il est utilisé.

Concrètement, un acteur, qui a accès au réseau SS7, peut se faire passer pour un opérateur étranger et faire comme si la cible était en train de procéder à du 'roaming' (itinérance), par lequel des conversations, messages et données de localisation sont envoyées via cet acteur. Il en résulte que l'interception d'une communication est possible, sans avoir accès au téléphone proprement dit et sans laisser de traces claires sur cet appareil.

En Belgique, sans être belge

Il nous faut ici ajouter que d'autres pistes sont possibles. Notre pays concentre plusieurs institutions internationales (OTAN, UE,...). Il se pourrait donc aussi que le client 'belge' de Circles se trouve parmi celles-ci.

Ambassades?

Une autre option est que les adresses IP soient liées à une ambassade. Les anciens bureaux de Winterthur se trouvaient à l'avenue des Arts 56 à Bruxelles. Il s'agit d'un édifice où aujourd'hui, pas moins de 175 entreprises ont une adresse, dont quelques organisations nucléaires.

Mais on y trouve aussi les ambassades du Canada et d'Australie. Il est possible qu'il s'agisse d'un hasard, mais Citizen Lab cite également l'Australie comme l'un des pays clients de Circles. Les deux pays se trouvent aussi conjointement avec la Grande-Bretagne, la Nouvelle-Zélande et les Etats-Unis au sein de l'alliance Five Eyes d'états qui s'échangent des renseignements et qui se sont taillé ces dernières décennies une solide réputation en matière d'espionnage.

Pas la première fois

Même s'il n'est pas démontré que le lien belge se réfère bien à un service public belge, ce ne serait pas la première fois que la Belgique soit citée dans le cadre de pratiques du genre.

En 2015, Wikileaks avait ainsi publié une liste de serveurs qui avaient été utilisés à des fins d'espionnage par le truchement de l'entreprise italienne Hacking Team. Cette nouvelle fut éventée, après qu'Hacking Team elle-même fut piratée. Des documents avaient à l'époque montré qu'en Belgique aussi, une infrastructure avait été mise en oeuvre pour ce genre d'interceptions.

Circles est une firme qui fournit des outils de mise sur écoute téléphonique. Ce type d'outil peut intercepter des conversations, des messages et la localisation d'appareils via le protocole SS7. L'entreprise a été rachetée en 2014 par NSO, une firme israélienne d'espionniciels ('spyware') focalisée sur l'abus de failles et accusée actuellement par Facebook de piratage de Whatsapp.Le laboratoire de recherche canadien Citizen Lab sort à présent une liste de clients probables de Circles. Il y est arrivé, parce que les clients de ces outils utilisent un portail VPN spécifique de la firme de sécurité Check Point. Grâce à un vaste scan d'internet, le laboratoire a pu retrouver ce portail dans les adresses IP de quelque 25 pays. Comme Circles elle-même déclare ne vendre qu'à des gouvernements ('nation states'), cela signifierait que le gouvernement belge est aussi un client et utilise probablement un outil de Circles pour mettre sur écoute certains téléphones.Deux adresses IP belgesData News a tenté de découvrir l'organisation à l'arrière des adresses IP et, ce faisant, a rencontré quelques bizarreries. Une adresse est d'un client de Telenet, et l'autre d'un client de Proximus. Cette dernière adresse renvoie assez singulièrement à Winterthur, un groupe d'assurances racheté par Axa il y a plus de dix ans déjà.Mais le lien vers Axa ne mène à rien, car l'entreprise utilise aujourd'hui d'autres adresses IP que celle mentionnée par Citizen Lab. Si le client était réellement Winterthur/Axa, il serait plus facile à identifier.En même temps, les adresses IP, où tourne le portail Check Point, possèdent un certificat pas vraiment correct et qui ne donne aucune information sur le propriétaire. S'il s'agissait d'une banque ou d'une entreprise légitime (qui veut par exemple exécuter des tests de sécurité avec des outils de Circles), le certificat serait pourtant conforme. Voilà qui indique que l'organisation à l'arrière des adresses IP tente de dissimuler sa véritable identité.Une source digne de foi de la rédaction, sachant comment fonctionnent les services de sécurité, nous explique que la situation ne prouve pas que c'est l'adresse IP d'un service de sécurité belge. Mais le modèle est similaire. C'est ainsi que les services de police disposent également de connexions de Telenet et de Proximus, afin d'utiliser des services internet sous le 'déguisement' d'un utilisateur particulier. Le fait qu'il y ait deux adresses des deux plus importants fournisseurs de notre pays qui soient liées à Circles, semble aller dans le sens de cette pratique.Une piste de réflexion possible qui expliquerait la référence à Winterthur, c'est qu'il s'agisse bien d'un service de sécurité utilisant une ex-adresse IP de Winterthur, mais n'ayant pas été adaptée dans les registres publics.En Belgique, sans être belgeIl nous faut ici ajouter que d'autres pistes sont possibles. Notre pays concentre plusieurs institutions internationales (OTAN, UE,...). Il se pourrait donc aussi que le client 'belge' de Circles se trouve parmi celles-ci.Ambassades?Une autre option est que les adresses IP soient liées à une ambassade. Les anciens bureaux de Winterthur se trouvaient à l'avenue des Arts 56 à Bruxelles. Il s'agit d'un édifice où aujourd'hui, pas moins de 175 entreprises ont une adresse, dont quelques organisations nucléaires.Mais on y trouve aussi les ambassades du Canada et d'Australie. Il est possible qu'il s'agisse d'un hasard, mais Citizen Lab cite également l'Australie comme l'un des pays clients de Circles. Les deux pays se trouvent aussi conjointement avec la Grande-Bretagne, la Nouvelle-Zélande et les Etats-Unis au sein de l'alliance Five Eyes d'états qui s'échangent des renseignements et qui se sont taillé ces dernières décennies une solide réputation en matière d'espionnage.Pas la première foisMême s'il n'est pas démontré que le lien belge se réfère bien à un service public belge, ce ne serait pas la première fois que la Belgique soit citée dans le cadre de pratiques du genre.En 2015, Wikileaks avait ainsi publié une liste de serveurs qui avaient été utilisés à des fins d'espionnage par le truchement de l'entreprise italienne Hacking Team. Cette nouvelle fut éventée, après qu'Hacking Team elle-même fut piratée. Des documents avaient à l'époque montré qu'en Belgique aussi, une infrastructure avait été mise en oeuvre pour ce genre d'interceptions.