Dans le film Mulan de Disney, tout est tellement simple. L’héroïne se bat contre les Huns dans l’armée chinoise, aux côtés de mâles tapageurs. Le film dépeint les adversaires de Mulan comme des créatures de l’ombre, sans visage. Le bien contre le mal – un classique.

Martin Münch vit dans un film de Disney. Il sait qui sont les méchants. Et il sait qu’il fait partie des gentils. Il n’y a qu’un problème : les autres ne le savent pas.

Le virus affecte la mémoire numérique

Pour eux, Martin Münch se situe du mauvais côté du Printemps arabe, du côté des oppresseurs. Les défenseurs des droits de l’homme l’accusent de fournir, de manière intentionnelle ou bien irréfléchie, des logiciels de surveillance à des dictatures.

Martin Münch, 31 ans, met au point des logiciels-espions pour les ordinateurs et les téléphones portables. Ces programmes infectent la mémoire numérique et fouillent dans la cyber-intimité des victimes. Grâce à eux, la police et les services secrets peuvent savoir de quels symptômes souffre par exemple l’individu “fliqué” en surveillant ses recherches sur Google. Le cheval de Troie qui permet tout cela se nomme Finfisher. C’est parce qu’ils sont dissimulés dans des fichiers d’allure inoffensive que ces programmes sont appelés “chevaux de Troie”.

Martin Münch est fier de son produit. Pour la première fois, il l’a montré à des journalistes allemands. Les portes vitrées de son bureau munichois sont ornées du nom de sa société : Gamma Group.

Martin Münch s’y rend pour décrire ses “joujoux” technologiques. Peut-être parce qu’il est autodidacte. Il n’a aucune formation spécialisée et n’a pas étudié l’informatique – il a simplement fait un an et demi de piano-jazz et de guitare.

Pour les enquêteurs, Martin Münch ressemble un peu à Mushu, le petit dragon décontracté qui seconde Mulan au combat. Martin Münch a une société par l’intermédiaire de laquelle il possède 15% des parts de Gamma International GmbH. Il a baptisé sa société Mushun, du nom du dragon du film. Il a simplement rajouté un “n” à la fin, confie-t-il avec un rire gêné. Il est aussi le directeur général de Gamma.

Le produit-vedette de Gamma appartient à la gamme Finfisher et se nomme Finspy. Martin Münch se penche sur son ordinateur portable Apple et nous montre ce que sait faire son programme. Pour commencer, l’utilisateur choisit le système d’exploitation qu’il souhaite attaquer : s’agit-il d’un iPhone d’Apple, d’un smartphone équipé du système d’exploitation de Google, Android, d’un PC ? Tourne-t-il sous Windows, sous le système d’exploitation gratuit Linux ?

Des attaques dignes des films d'action

L’enquêteur peut entrer le nombre de serveurs par lesquels le cheval de Troie transitera pour que même des victimes versées dans l’informatique soient incapables de savoir qui les surveille.

Ensuite, l’enquêteur peut sélectionner la virulence du cheval de Troie, c’est-à-dire ce qu’il peut faire : se servir d’un micro comme mouchard. Consulter les données enregistrées et les sauvegarder avant qu’elles ne soient effacées ou modifiées. Lire ce que l’utilisateur est en train d’écrire. Enregistrer des conversations sur Skype. Allumer la webcam de l’ordinateur pour voir où est situé le matériel. Se servir de la fonction de localisation par GPS d’un smartphone comme d’un émetteur. Même si la plupart des fonctions de Finspy sont illégales en Allemagne.

Et Finspy n’est pas donné. De 150 000 euros environ, le prix peut grimper jusqu’à une somme à sept chiffres, confie Martin Münch. Car Gamma conçoit pour chacun de ses clients une version personnalisée du cheval de Troie, qui doit être conforme à la législation du pays en question. “L’objectif, ce sont les contrevenants isolés”. Martin Münch ne parle pas de “contrevenants présumés”, il emploie les termes “délinquants” et “contrevenants” comme s’ils étaient synonymes de “suspects” et de “personnes surveillées”.

Le Barheïn utilise son logiciel

Alaa Shehabi est l’une de ces personnes surveillées. Son tort : avoir critiqué le gouvernement de son pays. La jeune femme est née au Bahreïn, un Etat insulaire du golfe Persique. Une monarchie – et un Etat policier. Le Sunnite Hamad Ben Issa al-Khalifa règne sur une population majoritairement chiite. Lorsque le Printemps arabe a déferlé sur le pays voilà deux ans et qu’Alaa Shehabi s’est jointe à des milliers d’autres personnes pour réclamer des réformes, le roi a demandé à l’armée saoudienne de lui venir en aide. Des photos et des vidéos postées sur Internet montrent des yeux brûlés par les gaz lacrymogènes et des membres lacérés par des volées de plomb.

Les organisateurs du prix de Formule 1 n’y ont vu aucun problème et ont lancé leurs invitations pour le Grand prix de Manama. L’opposition a essayé de raconter la vérité à quelques journalistes qui avaient fait le déplacement. Même Alaa Shehabi, qui dissimule ses cheveux noirs sous un voile, a rencontré des journalistes. Elle a parlé des violences policières, des blessés et des morts. Elle a brisé un tabou.

Alaa Shehabi se montrait prudente, regardait si elle était observée, a éteint son téléphone pendant l’interview. Pourtant, la police lui a rendu visite peu de temps après. Les policiers ne l’ont pas arrêtée, mais elle a reçu un premier e-mail intitulé “torture report on Nabeel Rajab”. Avec, en pièce jointe, des photos censées représenter les sévices subis par Nabeel Rajab. Nabeel est un ami d’Alaa, un opposant comme elle. Alaa a essayé d’ouvrir le fichier. En vain. Tant mieux pour elle, car la pièce jointe en question dissimulait un cheval de Troie de la société Gamma. L’Etat policier du Bahreïn avait Alaa dans le collimateur et s’est servi du logiciel de Martin Münch.

Une activité placée sous le sceau du secret

Des logiciels-espions pour un Etat policier ? Face à cette accusation, Gamma a une réaction étrange. Martin Münch envoie un communiqué de presse expliquant qu’une version d’évaluation destinée à ses clients a été subtilisée. Pas un mot sur le Bahreïn. Martin Münch ne révèle pas l’identité des clients de Gamma. Il ne dit pas non plus qui n’est pas client. Toute son activité est placée sous le sceau du secret. La société doit donc s’accommoder de la plainte officielle déposée auprès du ministère de l’Economie allemand par des membres de Reporters sans frontières et des défenseurs des droits de l’homme, qui exigent un durcissement des contrôles sur les destinataires des produits Gamma en se référant aux recommandations – certes facultatives – de l’Organisation de coopération et de développement économique (OCDE).

A la moindre occasion, Martin Münch rappelle que sa société respecte les lois allemandes en vigueur en matière d’exportations. Même si les produits Finfisher sont expédiés depuis l’Angleterre.

La Grande-Bretagne et l’Allemagne sont soumises au même règlement de l’Union européenne sur l’exportation de technologies de surveillance. Selon les termes de ce texte, les technologies de surveillance ne sont pas des armes, mais des matériels qui peuvent être utilisés à des fins civiles ou militaires. Dans le jargon, on parle de dual use [double usage]. Les conditions régissant leur exportation sont donc nettement moins sévères que pour des ventes de blindés. En fin de compte, c’est comme si Gamma recevait de ses clients un certificat stipulant que le logiciel Finfisher a bien été installé chez le bon destinataire, que l’Etat apposait lui-même son tampon dessus et que Gamma archivait ensuite le document.

Depuis le Printemps arabe, Gamma n’est pas en odeur de sainteté. Dans les bureaux d’une administration, les opposants égyptiens ont découvert une offre de la société adressée au gouvernement qu’ils venaient de renverser : un devis pour des logiciels, du matériel et des séances de formation, pour un total de 287 137 euros. La livraison n’a jamais eu lieu, assure Martin Münch.

Vers plus de transparence ?

L’homme semble sincèrement scandalisé par l’attitude de ses détracteurs : “On nous fait toujours endosser le mauvais rôle. Ce n’est pas agréable”. D’autant que ce n’est pas mérité, selon lui : “Beaucoup de gens disent : ‘cela ne me plaît pas, c’est une ingérence dans la vie privée’. Mais le fait que cela ne leur plaise pas ne veut pas dire que nous fassions quoi que ce soit d’illégal”.

Pour autant, Martin Münch promet aujourd’hui un changement, davantage de transparence, des actes concrets. Un représentant des droits de l’homme devrait siéger d’ici peu au conseil d’administration de Gamma. Un titre qui pourrait revenir à Martin Münch lui-même. Après un entretien de plusieurs heures, on a le sentiment que la boussole morale de Martin Münch a perdu le nord.

Il fait tout de même rédiger un code de conduite qui excluera l’exportation vers des pays qui bafouent les droits de l’homme. Gamma serait en contact avec deux organisations de défense des droits de l’homme – dont il tait les noms. Dans les cas litigieux, ils auraient le statut de consultants. Car lui-même n’ose pas tracer de ligne claire : après tout, les Etats-Unis ont fait usage de la torture à Guantanamo – sont-ils pour autant un Etat de non-droit ?

Le scandale, affirme Martin Münch, l’a littéralement stupéfait : “Les logiciels ne torturent personne”. Il ne parvient pas à comprendre le tollé. “Je trouve cela bien que la police puisse faire son travail”. Traquer les méchants. Au Bahreïn, ce sont les opposants politiques.