Le soulèvement syrien à la lumière du cyber

Sommaire-

Introduction

Le président syrien, Bachar al-Assad, fait face depuis mars 2011 à un large mouvement de contestation qui s’est progressivement transformé en guerre civile. Dans ce contexte particulièrement violent et confus, chaque camp tente de diffuser sa version des faits faisant de la maîtrise de l’information un enjeu majeur du conflit. Il serait ainsi réducteur de penser que les moyens cybernétiques mobilisés par le pouvoir syrien le sont uniquement pour rechercher et identifier les opposants ; tout comme il serait erroné de ne résumer l’utilisation d’Internet par les insurgés qu’à Facebook, Twitter ou YouTube. D’autant plus qu’en Syrie, ces médias jouent un rôle bien moindre qu’en Tunisie ou en Egypte. Et même dans ces deux exemples, il ne faut pas surestimer leur influence. L’originalité du conflit syrien, du point de vue du cyber, est donc ailleurs.

Les coupures à répétition de l’Internet

La Société Syrienne des Télécommunications (en anglais : Syrian Telecommunication Establishment, STE) est responsable du marché des télécommunications et de l’offre dans ce secteur. C’est elle qui régule l’attribution des licences et qui applique les décisions prises par le Ministère des Communications et des Technologies. La STE est également le principal fournisseur d’accès à Internet (FAI) du pays ; elle contrôle plus de 95% du réseau. Les 5% restants sont partagés entre une compagnie privée, Syriatel, créée en 2000, aujourd’hui le deuxième acteur majeur des télécommunications en Syrie, et les petits FAI qui dépendent de la STE pour leur activité.

De par son statut public, la Société Syrienne des Télécommunications est directement rattachée au pouvoir syrien. Syriatel, de son côté, est dirigée par Rami Makhlouf, un cousin de Bachar al-Assad. Les intérêts des deux principaux FAI syriens rejoignent donc ceux du gouvernement. Cette proximité est un atout majeur pour le clan au pouvoir qui peut couper l’Internet quand il le souhaite ou au moins en ralentir le débit. C’est d’ailleurs ce qui s’est passé le 3 juin 2011 lorsque près des 2/3 de l’Internet syrien n’étaient plus accessibles. La coupure n’était effectivement pas totale vu que les sites gouvernementaux fonctionnaient tout à fait normalement.

Pour le Président syrien, le ralentissement et la coupure de l’Internet, ainsi que la perturbation des réseaux GSM, visent à compliquer au maximum l’organisation de manifestations par les contestataires syriens tout en empêchant dans le même temps la transmission d’informations aux médias étrangers. Ces mesures sont d’autant plus efficaces en Syrie que le réseau du pays n’a qu’une dizaine de points d’interconnexion avec l’extérieur alors qu’en Egypte, il en avait plus de 200 au moment où le président Moubarak a fait couper l’Internet en janvier 2011 [1].

Lorsque la contestation s’est transformée en conflit armé, le pouvoir syrien n’a rien changé à cette tactique. L’idée étant toujours la même : perturber la communication entre les opposants sur le champ de bataille et empêcher la circulation de l’information vers l’étranger. C’est d’ailleurs ce qui s’est passé fin février 2012 lorsque Bachar al-Assad a fait couper l’accès à Internet et aux réseaux GSM avant de lancer l’assaut sur le quartier de Baba Amr (Homs).

Il faut néanmoins relativiser les effets obtenus par le ralentissement et la coupure de l’Internet en soulignant qu’en Syrie le taux de pénétration de l’Internet tourne autour de 18% seulement, que tout ne se passe pas sur Facebook ou Twitter d’autant plus que les Syriens, qui combattent l’armée régulière, ont mis en place des comités de coordination sur le terrain [2]. Surtout, certains médias étrangers, tout comme certains pays occidentaux, ont transmis aux opposants syriens des technologies leur permettant de contourner ces mesures (comme des téléphones satellitaires par exemple).

Le développement par le régime syrien de programme informatique à but offensif

Les autorités gouvernementales ont intensifié leur surveillance des réseaux sociaux dès le début du soulèvement, en mars 2011. Ce n’est d’ailleurs pas un hasard si un mois avant, en février 2011, Bachar al-Assad levait la censure sur Facebook. Il est vrai que les Syriens avaient trouvé des méthodes de contournement rendant celle-ci de toute façon inutile mais surtout le Président syrien avait conscience qu’il était plus facile de surveiller le réseau social s’il était accessible librement.

Pour exercer ce contrôle, le pouvoir syrien a fait appel à différentes techniques. L’une d’entre-elles, connue sous le nom de « man in the middle », consiste à intercepter les communications entre deux postes sans qu’aucun des opérateurs ne s’en rende compte. Infowar Monitor a rapporté en mai 2011 que ce type d’attaque avait été utilisé en Syrie sur une version sécurisée de Facebook (une version HTTPS) [3]. L’attaquant pouvait donc accéder aux comptes de la victime et avoir accès à toutes ses conversations.

Une autre technique dont s’est servi le pouvoir syrien consiste à saturer de requêtes ou de messages les réseaux, les sites et les comptes jugés hostiles. Ainsi, au début des événements, les syriens se servaient du compte Twitter « Syria# » pour transmettre des informations sur les manifestations et pour dénoncer l’attitude du gouvernement. Or, très rapidement, ce compte a commencé à recevoir des messages pro-régime, des insultes, des menaces et finalement des spam rendant son fonctionnement particulièrement difficile.

Le gouvernement syrien ne s’est pas arrêté à ce type d’attaque. Il a également développé et diffusé différentes sortes de malwares. L’un d’entres-eux est un cheval de Troie appelé BlackShades. Il a été signalé le 20 juin 2012 par la Electronic Frontier Foundation (EFF), une entreprise californienne, et le Citizen Lab de Toronto. Il circulait sous l’apparence d’un fichier vidéo dont l’ouverture provoquait en réalité l’installation d’un programme permettant l’accès à de nombreuses données (enregistrement des frappes sur le clavier et captures d’écran par exemple) [4]. Avec ce type de malware le pouvoir syrien récolte du renseignement sur les opposants et sur les opérations qu’ils envisagent de mener.

La maîtrise de l’information : un enjeu cybernétique majeur

La maîtrise de l’information est un autre aspect essentiel du conflit syrien comme l’illustre l’attentat à la bombe du 6 juillet 2012 qui a visé le siège de la télévision d’Etat à Damas. Si Bachar al-Assad utilise tous les moyens à sa disposition pour diffuser sa version des faits, les opposants au régime font de leur côté exactement la même chose. Information et désinformation font donc complètement partie des méthodes utilisées par les belligérants. La compréhension des évènements sous-entend donc d’être capable de déterminer ce qui relève de la manipulation de ce qui est une information solide.

Ce travail critique est compliqué par deux facteurs : le blocage de la presse étrangère par le pouvoir syrien, qui a tout fait pour empêcher les journalistes de se rendre dans le pays et qui du coup ont beaucoup de difficultés à vérifier les informations qu’ils reçoivent, et l’utilisation massive par les deux camps de techniques cybernétiques permettant la diffusion rapide d’images, de son et de documents.

En effet, les vidéos et les sites Internet prenant partie pour tel ou tel belligérant ne manquent pas. Tout le problème étant de comprendre ce que l’on voit. Un rapport de l’International Crisis Group évoque d’ailleurs plusieurs exemples d’éléments erronés ou confus ou tout simplement manipulés par un des acteurs mêlés au conflit [5]. Ainsi, en mai 2011, des groupes d’information faisaient état de tanks dans Homs sans que cela puisse être corroboré sur le terrain. Les 10 et 11 juin 2011, des rumeurs de tirs d’hélicoptère sur une manifestation dans le gouvernorat de Idlib étaient rapportés par certains médias sans là non plus aucune confirmation [6]. Une page Facebook dédiée à la « révolution syrienne », et largement consultée, était en réalité utilisée par les Frères musulmans pour diffuser leurs idées et leurs analyses de la situation en cours [7].

De ce point de vue, le conflit syrien n’a rien d’original. Information et désinformation sont effectivement un couple qui accompagne les conflits depuis des siècles comme l’illustre le « Dictionnaire de la désinformation » de François Géré [8]. Les nouveaux vecteurs de communication n’étant qu’un élément permettant une utilisation plus efficace de ces deux concepts.

Information et désinformation visent toujours un but précis. Pour le pouvoir syrien, par exemple, il s’agit de présenter les opposants au régime comme des terroristes dirigés par des puissances étrangères. Cette rhétorique vise principalement les puissances du Golfe, Qatar et Arabie saoudite en tête. Un groupe de hackers appelé Syrian Electronic Army (SEA) s’en prend d’ailleurs régulièrement aux intérêts de ces deux Etats.

La Syrian Electronic Army

La Syrian Electronic Army a pour objectif de diffuser la parole officielle du régime et de lutter contre tous les groupes, syriens ou non, susceptibles de se prononcer ou d’agir contre le pouvoir. La SEA possède un site Internet (IP : 213.178.227.152) enregistré selon Margaret Weiss auprès de la Syrian Computer Society, que Bachar al-Assad dirigeait avant qu’il ne devienne président [9]. Or, une recherche sur les noms de domaine syrian-es.org et syrian-es.com par l’intermédiaire de gandi.net indique que le site de la SEA est enregistré auprès de Network Solutions, une entreprise américaine.

Il n’est pas inhabituel de voir des sociétés européennes ou nord-américaines héberger des sites d’organisation comme celle-ci ou même de mouvements considérés comme terroristes. Cela pose la question de l’accessibilité de ces sites ou plus précisément de leur blocage éventuel par les hébergeurs, en sachant bien entendu que les sites ciblés trouveront toujours un autre moyen pour être à nouveau en ligne.

Qu’il soit enregistré en Syrie ou ailleurs, la Syrian Electronic Army bénéficie en tout cas du soutien tacite de Bachar al-Assad qui a fait explicitement référence au groupe dans un de ses discours de juin 2011. La SEA, par contre, ne cesse de répéter qu’elle est totalement indépendante et qu’elle n’agit pas sur ordre du président syrien. Il est particulièrement compliqué de déterminer avec exactitude la nature des relations qu’entretiennent la SEA et le gouvernement syrien. Nous ne pouvons que constater qu’elle mène toujours des opérations qui vont dans le sens des intérêts du régime.

Le plus souvent, la Syrian Electronic Army mène des attaques par déni de service distribué (DDoS) ou par « défacement » (defacing) [10]. Si ces techniques de piratage n’entraînent pas de perte de données, elles constituent tout de même une gêne réelle pour celui qui les subit. C’est d’ailleurs l’une des raisons pour laquelle la SEA a créé une page Facebook à destination de tous ceux qui veulent soutenir le pouvoir syrien où elle explique comment mener ce type d’attaques.

Certains groupes de hackers étrangers se sont mobilisés pour apporter leur soutien aux opposants syrien en attaquant notamment des cibles rattachés à des intérêts gouvernementaux. Anonymous fait partie de ces collectifs qui sont intervenus en Syrie en y menant différents types d’opérations contre le gouvernement de Bachar al-Assad. La Syrian Electronic Army et Anonymous s’affrontent depuis de nombreux mois sur Internet, échangeant régulièrement des menaces et mettant parfois en pratique certaines d’entre-elles. Ainsi, en juillet 2012, la SEA a déclaré s’être introduite dans deux sites liés à ce collectif de hackers et y avoir piraté plus de 700 comptes.

La SEA s’est également attaquée à certains médias arabes comme la chaîne qatarie Al-Jazeera (avril 2012). Le 23/24 avril 2012, les membres de la SEA ont pris pour cible le compte Twitter d’Al-Arabiya (Arabie saoudite). Les messages envoyés évoquaient une explosion dans les installations gazières du Qatar, le remplacement du Premier ministre et du ministre des Affaires étrangères du Qatar ou encore l’arrestation de la fille du Premier ministre du Qatar à Londres. Toutes ces nouvelles étaient bien entendu fausses. La SEA cherchait très certainement à exacerber les tensions qui existent entre le Qatar et l’Arabie saoudite afin de troubler leur partenariat sur la question syrienne.

Ces deux pays ont effectivement pris la tête de l’opposition régionale à Bachar al-Assad en multipliant d’un côté les démarches diplomatiques au sein de la Ligue arabe et de l’ONU et en envoyant de l’autre côté des armes aux hommes qui affrontent l’armée régulière syrienne. Le gouvernement syrien reproche au Qatar et à l’Arabie saoudite de mener une campagne agressive contre la Syrie et d’utiliser leurs médias pour transmettre des rapports erronés sur ce qui se passe dans le pays. D’où les opérations de la SEA contre ces Etats.

Les ramifications internationales du conflit syrien (en matière cybernétique)

Ce dernier point est essentiel. Chaque camp bénéficie effectivement d’appuis extérieurs facilitant son action.

Avant le soulèvement, le gouvernement syrien entretenait des échanges économiques, qui comprenaient également le domaine cybernétique, avec la Russie et la Chine. Depuis le début des évènements, la Russie affirme mener une diplomatie équilibrée, refusant de favoriser un camp plutôt que l’autre et réfutant toutes accusations sur son rôle prétendu en faveur de Bachar al-Assad. Néanmoins, contrairement aux Etats-Unis, la Russie et la Chine n’ont pris aucune mesure pour s’assurer que leurs entreprises de télécommunication ou de sécurité informatique n’interviennent dans le conflit.

Par ailleurs, l’une des questions qui se pose est de savoir dans quelle mesure la Chine et la Russie, qui disposent toutes deux d’une certaine expérience dans le domaine du cyber, conseillent ou aident le gouvernement syrien ? Il est effectivement fort probable que ces deux Etats jouent un rôle discret dans ce dossier même si nous devons reconnaître qu’il n’existe aucune preuve concrète de ce fait. Par contre, il est clair que la Syrie a accès à des technologies étrangères, notamment nord-américaine et européenne, lui permettant d’exercer un contrôle sur sa population.

Au regard des relations privilégiées qui existent entre la Syrie et l’Iran, il n’existe que peu de doutes sur le fait que l’Iran fasse bénéficier son allié de son expérience. Surtout que Téhéran a mis en place une division cyber au sein de ses unités de police dont l’objectif principal est d’appréhender les opposants iraniens. Le Hezbollah, de son côté, fournit depuis le début du soulèvement une aide technique à Damas. Le mouvement libanais constitue un soutien sans faille à Bachar al-Assad auquel Hassan Nasrallah, le secrétaire général du Hezbollah, a rendu un hommage appuyé le 18 juillet 2012 lors d’un discours télévisé.

Soyons cependant précis. Si la collaboration entre la Syrie, l’Iran et le Hezbollah libanais n’est pas un secret, et qu’a priori rien ne semble indiquer que le cyber échappe à ce partenariat, il n’existe pour autant aucune analyse détaillée sur ce sujet. Les relations entre ces trois acteurs dans le domaine cybernétique restent effectivement encore à étudier.

Nous pouvons cependant souligner que depuis l’été 2011, l’Iran accueille régulièrement une conférence organisée par une organisation appelée Cyber Hezbollah. Il s’agit d’un collectif de hackers qui voulaient soutenir le régime iranien au moment des évènements de 2009. A cette date, le pouvoir iranien faisait effectivement face à une contestation populaire massive en raison des résultats aux élections présidentielles de juin 2009.

Les membres du Cyber Hezbollah considèrent mener le jihad par des moyens cybernétiques. Certains chercheurs parlent de « e-jihad » ou de « cyber-jihad » pour décrire ce phénomène.

Le Meir Amit Intelligence and Terrorism Information Center, un centre israélien créé en 2002, décrit ainsi l’action du Cyber Hezbollah :

“A memorandum of opinion released by the organization shortly after it was established listed its goals and objectives, which include bringing together [iranian] regime supporters who are active in cyberspace, organizing courses and training for the activists, holding meetings to acquaint the activists with tactics of cyber warfare, and mobilizing the activists for online activities. Since its establishment, the organization has provided a supportive environment for philosophical and cultural discourse between figures considered close to the radical right wing bloc and regime supporters” [11].

La dernière conférence du Cyber Hezbollah - la neuvième depuis sa création - s’est tenue le 12 juillet 2012. Intitulée « Syria, the first line of Resistance », elle s’est déroulée en présence de l’ambassadeur de Syrie en Iran, Hamed Hassan, et a abordé la position adoptée par la Syrie face à Israël et aux Etats-Unis (et plus largement face à l’Occident) ainsi que face à ceux, comme la Turquie, le Qatar et l’Arabie saoudite considérés comme les instigateurs des évènements en Syrie. L’Iran y a réitéré avec force son soutien à Bachar al-Assad.

De leur côté, les Syriens qui participent au soulèvement bénéficient du soutien de plusieurs communautés de hackers. C’est ainsi qu’ils ont réussi, par exemple, à obtenir les mails du président syrien et de sa femme. Cet appui se traduit aussi par des actions de plus grande envergure. Les Anonymous ont ainsi déclaré être à l’origine du piratage qui a permis à Wikileaks de publier en juillet 2012 les « Syrian files ». Composés de millions de mails (2 484 899 exactement), écrits entre août 2006 et mars 2012, ces documents montrent selon Anonymous et Wikileaks le double jeu des entreprises occidentales qui ont continué à fournir du matériel de communication et de cyber sécurité après le début des affrontements en mars 2011.

Ces accusations rappellent le dossier Blue Coat Systems. Cette entreprise américaine, basée en Californie et spécialisée dans les technologies de filtrage de l’Internet, s’est retrouvée dans une situation délicate lorsqu’il s’est avéré que son matériel était utilisé par le pouvoir syrien alors même que les Etats-Unis exerçaient un embargo strict sur la Syrie. Le Département d’Etat a dit suivre de près les investigations à ce sujet et Blue Coat Systems a affirmé n’avoir rien vendu à ce pays tout en confirmant que ses produits étaient utilisés par le régime syrien. Soit la société américaine cache des transactions effectuées malgré l’embargo, soit un pays tiers a revendu à la Syrie ce matériel après l’avoir acheté à Blue Coat Systems.

Quoiqu’il en soit, la question qui se pose de manière plus globale concerne la vente de système de sécurité à des pays qui peuvent potentiellement en faire un usage répressif. En effet, les technologies cybernétiques sont duales. Par exemple, une société qui a besoin d’avoir un accès à distance sur les ordinateurs de ses employés peut demander à son service informatique d’installer un programme sur l’ensemble des postes de l’entreprise permettant cette fonctionnalité. Or, ce type de programme peut également servir à espionner s’il est introduit à l’insu d’une personne, d’une entreprise, d’un Etat.

C’est d’ailleurs ce qui s’est passé en Syrie avec un RAT (Remote Administration Tool), c’est-à-dire un programme permettant la prise de contrôle totale d’un ordinateur depuis un autre ordinateur, appelé DarkComet. De fabrication française, ce RAT a servi à l’espionnage de l’opposition syrienne. Selon Telecomix, un groupe d’hacktiviste en faveur de la liberté totale sur le net, l’IP du serveur utilisé par ce « DarkComet syrien » est basé à la Syrian Telecommunication Establishment. Le développeur de DarkComet, Jean-Pierre Lesueur, a condamné le détournement de son programme et a décidé de ne plus travailler dessus.

Face aux multiples initiatives du pouvoir syrien dans le domaine cybernétique, les Occidentaux ont décidé de réagir en apportant leur appui aux opposants à Bachar al-Assad. Ainsi, selon le Time, l’administration Obama leur fournit des technologies permettant de contourner la censure de l’Internet et de garantir leur anonymat ainsi que des téléphones satellites et des GPS [12]. Selon un rapport du département de recherche du Congrès (Congressionnal Report Service), l’aide américaine comprend également des moyens non létaux comme « du matériel médical, des lunettes à vison nocturne et des équipements de communication » [13].

Les Etats-Unis dispensent également des formations en informatique afin que les opposants puissent envoyer leurs films, photos et plus largement leur témoignage à l’étranger mais aussi pour qu’ils puissent avoir une certaine « hygiène informatique » pour éviter qu’ils ne se laissent trop facilement prendre au piège par des fichiers corrompus. Les Américains ne sont pas les seuls à soutenir les opposants syriens. D’autres pays, à l’instar de la France, ont effectivement proposé leur aide en fournissant par exemple des systèmes de communication sécurisés.

Si les Etats agissent au sein des Nations unies pour trouver une solution à la crise syrienne, ils n’hésitent donc pas non plus à prendre des mesures concrètes pour soutenir le camp de leur choix. Certes, les moyens cybernétiques ne constituent pas un élément primordial de cette aide extérieure mais il n’en reste pas moins que c’est un critère qui est largement pris en compte par les différents acteurs mêlés au conflit. En cela, le soulèvement syrien se distingue de ceux intervenus en Tunisie, en Egypte et en Libye.

[1Pierre Alonso, « La Syrie, coupure net », OWNI, 7 juin 2011, http://owni.fr/2011/06/07/la-syrie-...

[2Le taux de pénétration de l’Internet évoqué ici provient des statistiques de l’Internet World Stats
(http://www.internetworldstats.com/m...). Cet organisme utilise comme source l’International Telecommunication Union (ITU) qui est l’institution spécialisée des Nations Unies pour les technologies de l’information et de la communication.

[3Infowar Monitor est un centre de recherche canadien né en 2002 et issu du partenariat entre du Citizen Lab de la Munk School of Global Affairs de l’université de Toronto et un think tank nommé The SecDev Group basé à Ottawa.

[4Pour une analyse détaillée de ce malware voir l’article écrit pour la Electronic Frontier Foundation par Eva Galperin et Morgan Marquis-Boire, « New malware targeting Syrian Activists uses BlackShades commercial trojan » , EFF, 12 juillet 2012, https://www.eff.org/deeplinks/2012/07/new-blackshades-malware

[5Le personnel de l’International Crisis Group dispose au Moyen-Orient d’un réseau dense et généralement bien informé.

[6International Crisis Group, « Popular Protest in North Africa and the Middle East : The Syrian Regime’s slow-motion, suicide », Report n° 109, 13 juillet 2011, p. 3.

[7International Crisis Group, « Popular Protest in North Africa and the Middle East : The Syrian People’s slow-motion revolution », Report n° 108, 6 juillet 2011, p. 8.

[8François Géré, « Dictionnaire de la désinformation », Armand Colin, Paris, 2011, 351 p.

[9Margaret Weiss, "Assad’s Secretive Cyber Force", The Washington Institute, Policy Watch 1926, 12 avril 2012. Disponible en ligne en cliquant sur lien suivant :
http://www.google.fr/url?sa=t&r...

[10Un article détaillé d’Infowar Monitor, en date du 25 juin 2011, retrace les différentes techniques et cibles du groupe. Il est disponible en ligne sur : http://www.infowar-monitor.net/2011/06/syrian-electronic-army-disruptive-attacks-and-hyped-targets/

[11Le Meir Amit Intelligence and Terrorism Information Center est dirigé par le Dr Reuven Erlich. Situé à Gelilot, non loin d’Herzlia, il a été créé en 2002 au moment de la seconde Intifada. Les équipes de ce centre de recherche sont pour la plupart des anciens officiers du renseignement israélien.

[12Jay Newton-Small, « Hillary’s Little Startup : How the U.S. Is Using Technology to Aid Syria’s Rebels », Time World, 13 juin 2012, http://world.time.com/2012/06/13/hillarys-little-startup-how-the-u-s-is-using-technology-to-aid-syrias-rebels/#ixzz22xRfhuCo

[13Jeremy M. Sharp et Christopher M. Blanchard, « Armed conflict in Syria : US and International response », Congressional Research Service (CRS), 19 juillet 2012, http://www.fas.org/sgp/crs/mideast/RL33487.pdf