Trois anciens agents de la NSA ont reconnu avoir enfreint les lois américaines sur le partage et les interdictions de vendre des technologies militaires sensibles. Marc Baier, Ryan Adams et Daniel Gericke qui travaillaient comme cyberespions pour les Émirats arabes unis vont payer un total de 1,69 millions de dollars pour éviter toute poursuite. Le tableau soulève la question de l’utilisation des technologies militaires par les gouvernements à des fins d’espionnage de tiers. En sus, le cas ExpressVPN fait débat : peut-on continuer à se fier aux solutions du spécialiste de la sécurité informatique ?
Les trois agents ont travaillé dans le cadre du projet Raven destiné à espionner les tiers dan le viseur des Émirats arabes unis. Leurs faits d’armes incluent le piratage des réseaux informatiques aux États-Unis, de comptes de journalistes, de gouvernements rivaux et de militants des droits de l’Homme.
« Les prévenus ont travaillé en tant que cadres supérieurs dans une société basée aux Émirats arabes unis (U.A.E. CO) qui a soutenu et réalisé des opérations de piratage au profit du gouvernement des EAU entre 2016 et 2019. Bien qu'ils aient été informés à plusieurs reprises que leur travail pour U.A.E. CO, en vertu de la réglementation sur le trafic international d'armes, constituait un " service de défense " nécessitant une licence de la Direction du contrôle du commerce de défense du Département d'État, les défendeurs ont procédé à la fourniture de ces services sans licence.
Ces services comprenaient la fourniture d'un soutien, d'une direction et d'une supervision pour la création de systèmes "zéro-clic" sophistiqués de piratage informatique et de collecte de renseignements , c'est-à-dire capables de compromettre un dispositif sans aucune action de la part de la cible. Les employés d'U.A.E. CO, dont les activités étaient supervisées par les accusés et connues d'eux, ont ensuite déployé ces exploits "zero-click" pour obtenir et utiliser de façon illégale des identifiants d'accès à des comptes en ligne émis par des sociétés américaines et pour obtenir un accès non autorisé à des ordinateurs, comme à des téléphones portables, dans le monde entier, y compris aux États-Unis », précise le Département américain de la justice.
Le cas Daniel Gericke suscite un intérêt particulier étant donné que ce dernier est un actuel cadre de la société ExpressVPN. « Si vous êtes client d’ExpressVPN, vous ne devriez pas l’être », a lancé Edward Snowden.
Dans un communiqué en lien avec les révélations sur la participation de Daniel Garicke à des activités de cyberespionnage, ExpressVPN rassure :
« Nous trouvons profondément regrettable que les nouvelles de ces derniers jours concernant Daniel Gericke aient créé des inquiétudes parmi nos utilisateurs et donné à certains des raisons de remettre en question notre engagement envers nos valeurs fondamentales. Pour être tout à fait clair, même si nous apprécions l'expertise de Daniel et la façon dont elle nous a aidés à protéger nos clients, nous ne cautionnons pas le Projet Raven. La surveillance qu'il représente est totalement contraire à notre mission.
ExpressVPN se tient fermement du côté d'un Internet plus libre, plus sûr et plus privé, et nous ne pouvons pas le faire sans le soutien de nos clients et de la communauté Internet au sens large.
Bien que nous soyons convaincus que notre engagement envers cette mission est inébranlable, nous comprenons que les actions parlent plus fort que les mots. Pour commencer, nous allons augmenter la cadence de nos audits tiers existants afin de certifier chaque année notre conformité totale avec notre politique de confidentialité, y compris notre politique de non-stockage des journaux d'activité ou de connexion. Ce n'est qu'une première étape et nous continuerons à nous efforcer de gagner votre confiance.
Dans le même temps, si nous ne souhaitons en aucun cas diminuer la sincérité des préoccupations que nous avons entendues, nous voulons vous rassurer en vous disant que nous les avons étudiées en profondeur et que nous ne les partageons pas. Pour vous aider à comprendre comment nous pouvons être si confiants, nous devons partager avec vous la façon dont Daniel s'inscrit dans notre mission en tant que société, passée, présente et future.
Depuis le début, ExpressVPN s'est engagé à protéger la vie privée de ses clients et la sécurité de ses opérations. Cela se manifeste dans tout ce que nous faisons, de notre système TrustedServer révolutionnaire aux mesures approfondies que nous prenons pour empêcher quiconque d'injecter des logiciels malveillants dans nos applications. Nous savons que nous demandons à nos clients de nous faire confiance et nous ne considérons jamais cette confiance comme acquise. C'est pourquoi nous ouvrons volontairement nos systèmes à l'examen d'auditeurs externes sur une base régulière (comme lorsque PwC a effectué un examen approfondi de notre technologie TrustedServer et de notre conformité à la politique de confidentialité) et c'est pourquoi nous rendons même quelque chose d'aussi critique que notre protocole Lightway spécialement conçu librement disponible (et révisable) en tant que logiciel open-source.
Lorsque nous avons embauché Daniel en décembre 2019, nous connaissions son parcours : 20 ans de cybersécurité, d'abord au sein de l'armée américaine et de divers entrepreneurs gouvernementaux, puis dans une entreprise américaine fournissant des services de renseignement antiterroriste aux États-Unis et à son allié, les Émirats arabes unis, et enfin dans une entreprise des Émirats arabes unis faisant le même travail. Nous ne connaissions pas les détails des activités classifiées, ni d'aucune enquête avant sa résolution ce mois-ci. Mais nous savions ce que nous avions construit ici à ExpressVPN : une entreprise où chaque système et processus est renforcé et conçu pour minimiser les risques de toutes sortes, tant externes qu'internes.
Certains peuvent se demander : Comment avons-nous pu inviter volontairement quelqu'un avec le passé de Daniel dans notre milieu ? Pour nous, la réponse est claire : nous protégeons nos clients.
Pour faire ce travail efficacement - pour le faire, comme nous le pensons, mieux que quiconque dans notre secteur - il faut exploiter toute la puissance de feu de nos adversaires. Les meilleurs gardiens de but sont ceux qui sont formés par les meilleurs attaquants. Quelqu'un qui a fait ses classes dans le domaine de l'attaque, comme l'est Daniel, peut offrir des perspectives sur la défense qui sont difficiles, voire impossibles, à trouver ailleurs. C'est pourquoi il existe un précédent bien établi d'entreprises de cybersécurité qui embauchent des talents issus de l'armée ou du renseignement.
Avant son arrivée, nous disposions déjà de solides protections intégrées à nos opérations pour empêcher toute falsification ou tout dommage de l'intérieur. Bien qu'il ait gagné notre confiance, nous ne nous sommes jamais reposés uniquement sur cette confiance ; nous nous appuyons plutôt sur nos contrôles. (Un seul exemple : Conformément à notre adhésion au principe du moindre privilège, aucune personne qui n'est pas responsable de la maintenance ou de l'introduction de changements sur les serveurs VPN ne dispose des autorisations nécessaires pour le faire - ni Daniel, ni nos cofondateurs, ni quiconque n'en ayant pas besoin).
Depuis que Daniel nous a rejoints, il a rempli exactement la fonction pour laquelle nous l'avons engagé : Il a constamment et continuellement consolidé et renforcé les systèmes qui nous permettent d'offrir la confidentialité et la sécurité à des millions de personnes. »
Sources : DoJ, ExpressVPN
Et vous ?
Que pensez-vous du positionnement de la société ExpressVPN sur le cas Daniel Garicke ?
Peut-on continuer à se fier aux solutions ExpressVPN ?
Voir aussi :
USA : deux anciens employés de Twitter accusé d’avoir profité de leur position dans la structure, pour espionner des opposants au régime saoudien
Les Saoudiens ont piraté le smartphone du PDG d’Amazon pour accéder à ses données privées, d’après un consultant en sécurité engagé par Jeff Bezos
Le prince saoudien serait derrière le piratage du téléphone du patron d’Amazon Jeff Bezos qu’il aurait infiltré par un fichier vidéo malveillant envoyé depuis un compte WhatsApp
Comme pour les Saoudiennes, tout téléphone est pisté via un IMEI, un des yeux des gouvernements sur les masses
Google ne supprimera pas l’application du gouvernement saoudien qui suit les femmes, car elle n’est pas en violation avec ses conditions de service
Trois Américains, dont un actuel cadre d'ExpressVPN, reconnaissent leur implication dans des activités de cyberspionnage pour les Émirats arabes unis,
Edward Snowden lance l'alerte contre ExpressVPN
Trois Américains, dont un actuel cadre d'ExpressVPN, reconnaissent leur implication dans des activités de cyberspionnage pour les Émirats arabes unis,
Edward Snowden lance l'alerte contre ExpressVPN
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !