Trois Américains, dont un actuel cadre d'ExpressVPN, reconnaissent leur implication dans des activités de cyberespionnage pour les Émirats arabes unis

Indigostar

Edward Snowden lance l’alerte contre ExpressVPN.

Trois anciens agents de la NSA ont reconnu avoir enfreint les lois américaines sur le partage et les interdictions de vendre des technologies militaires sensibles. Marc Baier, Ryan Adams et Daniel Gericke qui travaillaient comme cyberespions pour les Émirats arabes unis vont payer un total de 1,69 millions de dollars pour éviter toute poursuite. Le tableau soulève la question de l’utilisation des technologies militaires par les gouvernements à des fins d’espionnage de tiers. En sus, le cas ExpressVPN fait débat : peut-on continuer à se fier aux solutions du spécialiste de la sécurité informatique ?

Les trois agents ont travaillé dans le cadre du projet Raven destiné à espionner les tiers dan le viseur des Émirats arabes unis. Leurs faits d’armes incluent le piratage des réseaux informatiques aux États-Unis, de comptes de journalistes, de gouvernements rivaux et de militants des droits de l’Homme.

« Les prévenus ont travaillé en tant que cadres supérieurs dans une société basée aux Émirats arabes unis (U.A.E. CO) qui a soutenu et réalisé des opérations de piratage au profit du gouvernement des EAU entre 2016 et 2019. Bien qu’ils aient été informés à plusieurs reprises que leur travail pour U.A.E. CO, en vertu de la réglementation sur le trafic international d’armes, constituait un " service de défense " nécessitant une licence de la Direction du contrôle du commerce de défense du Département d’État, les défendeurs ont procédé à la fourniture de ces services sans licence.

Ces services comprenaient la fourniture d’un soutien, d’une direction et d’une supervision pour la création de systèmes “zéro-clic” sophistiqués de piratage informatique et de collecte de renseignements , c’est-à-dire capables de compromettre un dispositif sans aucune action de la part de la cible. Les employés d’U.A.E. CO, dont les activités étaient supervisées par les accusés et connues d’eux, ont ensuite déployé ces exploits “zero-click” pour obtenir et utiliser de façon illégale des identifiants d’accès à des comptes en ligne émis par des sociétés américaines et pour obtenir un accès non autorisé à des ordinateurs, comme à des téléphones portables, dans le monde entier, y compris aux États-Unis », précise le Département américain de la justice.

Le cas Daniel Gericke suscite un intérêt particulier étant donné que ce dernier est un actuel cadre de la société ExpressVPN. « Si vous êtes client d’ExpressVPN, vous ne devriez pas l’être », a lancé Edward Snowden.

Dans un communiqué en lien avec les révélations sur la participation de Daniel Garicke à des activités de cyberespionnage, ExpressVPN rassure :

« Nous trouvons profondément regrettable que les nouvelles de ces derniers jours concernant Daniel Gericke aient créé des inquiétudes parmi nos utilisateurs et donné à certains des raisons de remettre en question notre engagement envers nos valeurs fondamentales. Pour être tout à fait clair, même si nous apprécions l’expertise de Daniel et la façon dont elle nous a aidés à protéger nos clients, nous ne cautionnons pas le Projet Raven. La surveillance qu’il représente est totalement contraire à notre mission.

ExpressVPN se tient fermement du côté d’un Internet plus libre, plus sûr et plus privé, et nous ne pouvons pas le faire sans le soutien de nos clients et de la communauté Internet au sens large.

Bien que nous soyons convaincus que notre engagement envers cette mission est inébranlable, nous comprenons que les actions parlent plus fort que les mots. Pour commencer, nous allons augmenter la cadence de nos audits tiers existants afin de certifier chaque année notre conformité totale avec notre politique de confidentialité, y compris notre politique de non-stockage des journaux d’activité ou de connexion. Ce n’est qu’une première étape et nous continuerons à nous efforcer de gagner votre confiance.

Dans le même temps, si nous ne souhaitons en aucun cas diminuer la sincérité des préoccupations que nous avons entendues, nous voulons vous rassurer en vous disant que nous les avons étudiées en profondeur et que nous ne les partageons pas. Pour vous aider à comprendre comment nous pouvons être si confiants, nous devons partager avec vous la façon dont Daniel s’inscrit dans notre mission en tant que société, passée, présente et future.

Depuis le début, ExpressVPN s’est engagé à protéger la vie privée de ses clients et la sécurité de ses opérations. Cela se manifeste dans tout ce que nous faisons, de notre système TrustedServer révolutionnaire aux mesures approfondies que nous prenons pour empêcher quiconque d’injecter des logiciels malveillants dans nos applications. Nous savons que nous demandons à nos clients de nous faire confiance et nous ne considérons jamais cette confiance comme acquise. C’est pourquoi nous ouvrons volontairement nos systèmes à l’examen d’auditeurs externes sur une base régulière (comme lorsque PwC a effectué un examen approfondi de notre technologie TrustedServer et de notre conformité à la politique de confidentialité) et c’est pourquoi nous rendons même quelque chose d’aussi critique que notre protocole Lightway spécialement conçu librement disponible (et révisable) en tant que logiciel open-source.

Lorsque nous avons embauché Daniel en décembre 2019, nous connaissions son parcours : 20 ans de cybersécurité, d’abord au sein de l’armée américaine et de divers entrepreneurs gouvernementaux, puis dans une entreprise américaine fournissant des services de renseignement antiterroriste aux États-Unis et à son allié, les Émirats arabes unis, et enfin dans une entreprise des Émirats arabes unis faisant le même travail. Nous ne connaissions pas les détails des activités classifiées, ni d’aucune enquête avant sa résolution ce mois-ci. Mais nous savions ce que nous avions construit ici à ExpressVPN : une entreprise où chaque système et processus est renforcé et conçu pour minimiser les risques de toutes sortes, tant externes qu’internes.

Certains peuvent se demander : Comment avons-nous pu inviter volontairement quelqu’un avec le passé de Daniel dans notre milieu ? Pour nous, la réponse est claire : nous protégeons nos clients.

Pour faire ce travail efficacement - pour le faire, comme nous le pensons, mieux que quiconque dans notre secteur - il faut exploiter toute la puissance de feu de nos adversaires. Les meilleurs gardiens de but sont ceux qui sont formés par les meilleurs attaquants. Quelqu’un qui a fait ses classes dans le domaine de l’attaque, comme l’est Daniel, peut offrir des perspectives sur la défense qui sont difficiles, voire impossibles, à trouver ailleurs. C’est pourquoi il existe un précédent bien établi d’entreprises de cybersécurité qui embauchent des talents issus de l’armée ou du renseignement.

Avant son arrivée, nous disposions déjà de solides protections intégrées à nos opérations pour empêcher toute falsification ou tout dommage de l’intérieur. Bien qu’il ait gagné notre confiance, nous ne nous sommes jamais reposés uniquement sur cette confiance ; nous nous appuyons plutôt sur nos contrôles. (Un seul exemple : Conformément à notre adhésion au principe du moindre privilège, aucune personne qui n’est pas responsable de la maintenance ou de l’introduction de changements sur les serveurs VPN ne dispose des autorisations nécessaires pour le faire - ni Daniel, ni nos cofondateurs, ni quiconque n’en ayant pas besoin).

Depuis que Daniel nous a rejoints, il a rempli exactement la fonction pour laquelle nous l’avons engagé : Il a constamment et continuellement consolidé et renforcé les systèmes qui nous permettent d’offrir la confidentialité et la sécurité à des millions de personnes. »

Sources : securite.developpez.com, DoJ

Psyckofox

Le monde du vpn n’est plus ce qu’il était

Raccoon

Utiliser un VPN ça revient à faire confiance à un tiers chez qui transite toutes nos données. Ca n’a rien d’un gage de sécurité même si c’est annoncé comme tel sur le papier l’écran.

Aerya

@raccoon Tu m’étonnes…

Ashura

Bordel c’etait un des derniers VPN “safe”

Et en plus " Lorsque nous avons embauché Daniel en décembre 2019, nous connaissions son parcours : 20 ans de cybersécurité, d’abord au sein de l’armée américaine et de divers entrepreneurs gouvernementaux "

qui dit que le mec n’est pas encore lier au gouvernement et y glisse discrètement une petite backdoor quelque part

Nios

Je suis chez eux depuis bientôt deux ans

Violence

Attention @Nios, les flics vont débarquer chez toi d’ici peu

Psyckofox

@nios

Et moi depuis Mathusalem

Nios

@violence a dit dans Trois Américains, dont un actuel cadre d'ExpressVPN, reconnaissent leur implication dans des activités de cyberspionnage pour les Émirats arabes unis :

Attention @Nios, les flics vont débarquer chez toi d’ici peu

Plus sérieusement : je sais bien que l’on ne vit pas dans le monde des bisounours et que certains sont et seront toujours prêts à tout pour du pognon mais apprendre ce genre de révélations me fout chaque fois un peu plus les boules quant à l’avenir du dernier espace de liberté qu’il nous reste.

Il y a quelques semaines c’était “l’affaire” Protonmail, désormais c’est le tour d’ExpressVPN, qui sera le prochain ?

PS : Il manque un “e” dans cyberespionnage. Merci à celui qui corrigera le titre du topic

Psyckofox

En faites on essaie de nous faire croire (ou on essaie de se convaincre) que quand on souscrit à ce genre de service, tout est OK.
Alors que c’est juste utopique tous ça, une boite de securité dite safe sera open bar le lendemain avec vente de donnée, espionnage ou autre coup de Trafalgar

duJambon

On ne peut pas espérer non plus qu’un service légal ne respecte pas la légalité (ou alors c’est un bandit et potentiellement un voleur ).

Même le darknet n’est pas à l’abri.

Il faut juste faire la part des choses et essayer de ne pas faire partie des cibles privilégiées…