ZTE accusée de fournir du matériel d'espionnage à l'Iran

Le FBI vient d'ouvrir une enquête criminelle sur la société chinoise ZTE, spécialiste dans les équipements télécoms (la société possède même sa propre marque de smartphones), accusée d'avoir exporté à l'Iran un dispositif de surveillance des télécommunications qui serait capable d'intercepter à l'échelle de tout le pays les communications téléphoniques (fixes et mobiles) et les flux Internet. Ce dispositif de surveillance massive s'inscrirait dans le cadre d'un contrat de près de 100 millions d'Euros passé entre ZTE et l'opérateur télécom national iranien TCI, et signé en décembre 2010.

Wired résume cette affaire ici, et  le site TheSmokingGun.com publie un extrait de l'acte d'accusation confidentiel du FBI.

Qu'il existe un marché pour ce type d'équipement, et que des états respectables entretiennent de telles relations commerciales avec d'autres états un peu moins respectables, c'est un secret de polichinelle. Mais cette nouvelle est intéressante à plusieurs égards : en premier lieu, le FBI s'intéresse à ce contrat principalement en raison du fait que pour répondre à la demande iranienne, ZTE a fait appel à des technologies américaines : plusieurs grandes sociétés américaines (dont Microsoft, Hewlett-Packard, Oracle, Cisco, Dell, Juniper, Symantec) ont vu leurs produits être intégrés dans le système de surveillance développé par ZTE, probablement à leur insu. Le procédé utilisé par l'Iran pour contourner l'embargo américain est donc plutôt astucieux.

Mais surtout, en creux, cette affaire nous livre deux informations :

• D'abord, pourquoi ZTE, en relation directe avec l'Iran, a-t-elle besoin de faire appel à des technologies américaines pour développer un tel système de surveillance ? Pourquoi ne pas faire appel uniquement à des constructeurs chinois, et pourquoi braver l'embargo américain au risque de voir les autorités se mêler de ce contrat ? Mon hypothèse pour expliquer cette prise de risque est que contrairement au mythe largement répandu, l'industrie chinoise n'est pas (du moins, pas encore) capable de fournir l'infrastructure nécessaire à la surveillance électronique d'un pays entier. Cela tendrait donc à relativiser le réflexe de suspicion qui s'empare des médias à la simple évocation du nom d'une société de télécommunications chinoise ;
• D'autre part, le fait que l'Iran se dote maintenant d'un tel dispositif est, en négatif, l'aveu que jusqu'ici, la surveillance électronique iranienne de sa population civile était, au mieux, partielle et imparfaite. Mais les temps changent !
  

Chose amusante, un document de ZTE daté du 22 juillet 2011 détaille la liste du matériel fourni. Juillet 2011... C'est justement la période à laquelle les faux certificats SSL produits suite au piratage de l'autorité de certification Diginotar ont commencé à circuler dans la nature, et en particulier en Iran. Rappelons-le, ces faux certificats auraient pu permettre d'intercepter le trafic HTTPS à destination de sites grand public (Facebook, Gmail, etc.) et de le déchiffrer. Tout ceci n'est que pure spéculation de ma part, mais le contrat ZTE-TCI pourrait constituer une pièce importante pour comprendre l'affaire Diginotar : sans ces faux certificats, les flux SSL auraient échappé à la surveillance du dispositif de ZTE. La revendication du piratage de Diginotar par un certain "ComodoHacker", pirate patriote et solitaire, a donc du plomb dans l'aile.