Enquêtes · Numérique

Qui garde les clés ?

Un coffre-fort à mots de passe « européen » sous licence du FSB. Un officier du renseignement marocain qui ouvre l'armoire aux logiciels espions. Deux enquêtes du Monde, publiées à un jour d'écart, et une seule leçon : la confiance numérique est une infrastructure politique. Troisième volet de la série.

Par Augustin Kuentz Strasbourg, 17 juillet 2026
"Quis custodiet ipsos custodes ?" (Qui gardera les gardiens eux-mêmes ?) — Juvénal, Satires, VI

Prologue : deux enquêtes, une question

Les 16 et 17 juillet, la cellule numérique du Monde a publié coup sur coup deux enquêtes que tout semble opposer. La première raconte un logiciel : Passwork, gestionnaire de mots de passe qui se vend aux entreprises européennes comme un produit espagnol, et qui est en réalité né en Russie, où sa société sœur détient un agrément du FSB.1 La seconde raconte un homme : « Safir », ancien officier du renseignement intérieur marocain, premier lanceur d'alerte venu du cœur de l'appareil sécuritaire du royaume, qui détaille comment son service a retourné toute la technologie disponible contre les journalistes et les militants de son propre pays.2

Un logiciel d'entreprise et un service secret. Une affaire de commerce et une affaire d'État. En apparence, rien à voir. En réalité, c'est le même sujet, vu des deux côtés du miroir : à qui confions-nous nos clés, et que fait de nos clés celui qui les garde ? Après le comptage des voix, après le comptage des morts, voici le troisième pilier invisible de toute démocratie moderne : l'infrastructure de la confiance.

Acte I : Le mensonge d'origine

Un coffre-fort né à Arkhangelsk

L'histoire de Passwork est un cas d'école de blanchiment d'origine. Créée au milieu des années 2010 à Arkhangelsk, dans le nord de la Russie, par deux entrepreneurs du marketing numérique, la société comprend vite que son passeport est un problème. Ses propres dirigeants le formulaient sans détour à l'époque : les gens ne font pas confiance aux produits russes, il fallait donc une entreprise officielle dans un pays « normal ». Ce sera la Finlande en 2017, avec l'appui d'un investisseur décoré par Vladimir Poutine de l'ordre de l'Amitié. Puis, après l'invasion de l'Ukraine, les Émirats arabes unis. Puis, en 2024, une société espagnole, qui se présente aujourd'hui comme « une entreprise européenne » vendant un outil « conçu en Europe ».1

L'enquête du consortium coordonné par l'OCCRP démontre que ces sociétés-écrans successives vendent le même logiciel, mis à jour aux mêmes dates, dirigé par les mêmes hommes. Et que la maison mère russe, elle, affiche fièrement sa clientèle : des administrations russes, une dizaine d'entreprises sous sanctions européennes dont Gazprom et le fabricant de missiles Almaz-Anteï, et surtout deux sésames officiels, une licence du service de contrôle des exportations dépendant du ministère de la défense, et un agrément du FSB, l'héritier du KGB.1 Ces licences ne prouvent pas une collaboration active ; elles constituent, comme l'écrit sobrement Le Monde, un moyen de pression potentiel. En Russie, on sait ce que pèse un « potentiel » de ce genre.

Et dans les coffres : trois ports français

Qui a acheté ce coffre-fort ? L'université technique de Dresde. Le laboratoire scientifique du gouvernement irlandais. Une filiale d'Orange, pour une « modeste prestation ». Et Haropa Port, l'établissement public qui gère Le Havre, Rouen et Paris, premier hub logistique de France et opérateur d'importance vitale, où la solution a été déployée sur au moins un site.1 Un gestionnaire de mots de passe, c'est l'endroit où une organisation range toutes ses autres serrures. Le chercheur Bert Hubert le compare à un airbag : "Vous ne pouvez les soumettre à un crash test qu'une seule fois."1

Le détail le plus instructif de l'affaire n'est pas technique, il est réglementaire : l'Anssi, l'agence française de cyberdéfense, délivre des visas de sécurité précisément pour ce genre d'outils. Passwork n'en a pas. Un opérateur d'importance vitale a donc confié ses clés à un logiciel sans visa, sur la foi d'un site web proclamant « made in Europe ». La confiance a été accordée à une étiquette, pas à une vérification. Retenez ce mécanisme : c'est exactement celui que ce site a documenté pour le tabac « léger », les pesticides « homologués » et les expertises « indépendantes ». Le déclaratif n'est pas une preuve, et un marché sans audit est une invitation.

Mise à jour · 17 juillet au soir : la France hausse le ton

Le jour même de la publication de cet article, Le Monde révélait que l'exécutif français change de posture face à la guerre hybride russe. Le 13 juillet, Paris a attribué une longue campagne de cyberespionnage à une unité du FSB dont le nom de code a été dévoilé pour la première fois, l'unité 61240, a soutenu des sanctions européennes et convoqué le chargé d'affaires russe.3 Les auditions parlementaires publiées la même semaine confirment l'ampleur de ce qui se joue sous nos yeux : doublement des survols de drones au-dessus des sites militaires, sabotages d'équipements hydroélectriques jugés « bien réels » par le directeur de l'Anssi, incendie du site Thales de Brest confié au parquet de Paris, et 13 informations judiciaires plus 26 enquêtes préliminaires pour ingérences étrangères en cours. Un général y a livré la définition qui éclaire tout ce dossier : une guerre conçue pour rester sous le seuil de l'attribution, une « guerre d'usure ». Autrement dit : l'agrément FSB de l'acte I n'est pas un détail administratif dans un dossier commercial. C'est une pièce d'un continuum que l'État français, après des années de pudeur, commence enfin à nommer.

Acte II : L'État prédateur

L'armoire aux mouchards

Passons de l'autre côté du miroir. Ce que « Safir » décrit au consortium coordonné par Forbidden Stories, avec l'appui du Security Lab d'Amnesty International, c'est un État qui a fait de la technologie de confiance une arme contre sa propre société civile. L'inventaire donne le vertige. Pegasus, bien sûr, dont le Maroc niait l'usage depuis 2021 et que l'ancien officier confirme, avec ses techniques d'infection sans clic par faille WhatsApp. Mais Pegasus n'était que le joyau, utilisé en dernier recours. Avant lui : le logiciel RCS de l'italienne Hacking Team, sous licence permettant d'infecter jusqu'à 2 000 appareils ; des téléphones piégés en usine, vendus comme neufs dans les boutiques fréquentées par les manifestants du Hirak ; des cybercafés militants infectés ; des IMSI-catchers contre les foules du Rif ; un logiciel israélien capable de prendre le contrôle de n'importe quelle caméra de vidéosurveillance ; des caméras de la taille d'une lentille de contact dans les luminaires du journaliste Omar Radi ; une caméra dans la climatisation d'un défenseur des droits humains, retirée sitôt les images intimes volées.2

Deux détails, dans ce catalogue, méritent qu'on s'y arrête, parce qu'ils dépassent le Maroc. D'abord, la complicité des infrastructures civiles : selon le lanceur d'alerte, l'opérateur Maroc Telecom désactivait discrètement les plafonds de données des victimes pour que l'exfiltration de leurs téléphones passe inaperçue, et l'intégralité des communications du pays est conservée deux ans, consultable à volonté. « Il y a des lois, mais elles ne s'appliquent pas », résume l'ancien officier.2 Ensuite, la boucle médiatique : les images volées alimentent une « presse de diffamation » symbiotique du renseignement, pendant qu'une cellule de plusieurs dizaines d'agents inonde les réseaux sociaux de faux commentaires. La surveillance ne sert pas seulement à savoir. Elle sert à salir, à isoler, à dissuader.

Car c'est bien là l'effet recherché, et un militant sahraoui le dit au consortium avec une précision clinique : depuis l'attaque de son téléphone, des gens refusent de l'appeler ; peu à peu, son cercle s'est restreint.2 Voilà ce que la surveillance fait à une société : elle ne supprime pas l'opposition, elle rend la confiance elle-même dangereuse. Chaque conversation devient un risque, chaque proche un vecteur, chaque café une salle d'écoute. Une démocratie meurt aussi comme ça : quand plus personne n'ose composer un numéro.

Et d'où venait cet arsenal ? D'Italie, d'Israël, du marché mondial de la surveillance clé en main. Les outils qui étranglent la société civile marocaine sont des produits d'exportation, conçus par des entreprises de pays démocratiques, vendus avec formation à domicile incluse.2 Le rapprochement avec l'acte I s'impose : nous nous inquiétons, à juste titre, d'un logiciel russe dans nos ports ; les Marocains, eux, subissent des logiciels européens et israéliens dans leurs téléphones. Le marché de la confiance trahie n'a pas de camp.

Acte III : Les gardiens qui restent

Alors, qui garde les gardiens ? La réponse de ces deux enquêtes est instructive, car dans les deux cas, ce ne sont ni les États ni le marché.

Passwork a été démasqué par un consortium de journalistes coordonné par l'OCCRP. L'arsenal marocain, par quinze rédactions coordonnées par Forbidden Stories, un média créé précisément pour poursuivre le travail des journalistes réduits au silence, appuyées par le laboratoire technique d'une ONG, et rendues possibles par un homme qui boit dans des gobelets jetables pour ne pas laisser d'empreintes.2 Voilà l'institution de contrôle réelle de notre époque : des lanceurs d'alerte qui risquent tout, des journalistes en réseau transnational, des chercheurs en sécurité. Une infrastructure démocratique de fait, qui ne figure dans aucune constitution, ne reçoit presque aucun financement public, et que les régimes qu'elle dérange qualifient méthodiquement d'ennemie.

Pendant ce temps, les gardiens officiels regardent ailleurs. Les autorités de la concurrence valident les acquisitions, les acheteurs publics se fient aux étiquettes, et cinq ans après le Projet Pegasus, dont un eurodéputé chargé d'enquêter sur le logiciel a lui-même été victime, l'Europe n'a toujours pas de régime sérieux de contrôle du commerce des armes numériques. On exporte des logiciels espions vers des autocraties avec moins de formalités que des machines-outils.

Mise à jour, 17 juillet au soir. Et la protection de ces gardiens ne se joue pas qu'à Rabat ou à Moscou : elle se plaide en ce moment même dans les prétoires français, au cœur de la campagne présidentielle. Le Monde révèle que le tribunal administratif de Paris a conforté, le 15 juillet, le statut de lanceuse d'alerte de « Judith », l'ancienne directrice générale adjointe de la communauté urbaine du Havre dont les signalements ont conduit à l'information judiciaire visant Édouard Philippe, candidat à l'Élysée et président de cette collectivité. La communauté urbaine avait attaqué l'avis du Défenseur des droits qui la protège ; la requête est rejetée, et la haut fonctionnaire qualifie la démarche de « procédure bâillon » financée par de l'argent public.4 Chacun jugera l'affaire au fond le moment venu, et M. Philippe est présumé innocent. Mais la leçon institutionnelle, elle, est déjà là, et elle dit exactement ce que cet article soutient : quand une collectivité publique emploie ses moyens à contester la protection de celle qui l'alerte, c'est le juge, encore lui, qui tient la ligne. Les gardiens des gardiens existent. Ils sont peu nombreux, et tout se jouera à leur solidité.

Épilogue : le cahier des charges des clés

Que ferait une démocratie qui prendrait ses clés au sérieux ? Quatre choses, et aucune n'est utopique. Elle exigerait la vérifiabilité : pour les logiciels qui gardent les secrets des infrastructures vitales, du code auditable et des visas de sécurité obligatoires, pas des arguments marketing ; c'est la même logique de bout en bout que je défendais pour le vote, appliquée aux serrures. Elle exigerait la traçabilité d'origine : savoir qui écrit le code qu'on installe, comme on sait, ou comme on devrait savoir, qui produit ce qu'on mange. Elle contrôlerait ses exportations : un logiciel espion est une arme, et se vend comme telle. Et elle protégerait ses gardiens réels : statut, financement et asile pour les lanceurs d'alerte et le journalisme d'investigation, qui font aujourd'hui gratuitement, et à leurs risques, le travail que les États ne font pas.

La série de cet été pose trois fois la même question sous trois habits : qui compte les voix, qui compte les morts, qui garde les clés. Trois infrastructures invisibles, trois angles morts de nos constitutions, écrites à une époque où le pouvoir avait besoin de soldats pour surveiller une ville. Il lui suffit désormais d'une mise à jour logicielle. Nos textes fondamentaux protègent le domicile et la correspondance ; ils ne disent rien du gestionnaire de mots de passe d'un port ni du téléphone piégé vendu comme neuf. Ce vide n'est pas une fatalité, c'est un chantier. Et il commence, comme toujours, par regarder : deux enquêtes, un vendredi de juillet, pendant que la France parlait d'autre chose.

Les leçons croisées des deux enquêtes
L'étiquette« Made in Europe » n'est pas une preuve. Sans audit ni visa, la confiance est un acte de foi.
Le point uniqueUn gestionnaire de mots de passe concentre toutes les serrures : c'est l'airbag qu'on ne teste qu'une fois.
Le marchéLes armes numériques circulent des démocraties vers les autocraties, formation incluse.
L'effet réelLa surveillance ne vise pas à savoir, mais à isoler : elle rend la confiance dangereuse.
Les gardiensLanceurs d'alerte, consortiums de journalistes, chercheurs : l'organe de contrôle que personne n'a institué.

Notes

1 Damien Leloup, « Les liens troubles avec la Russie d'un gestionnaire de mots de passe "européen" », enquête avec le consortium coordonné par l'OCCRP, Le Monde, 17 juillet 2026. Lire l'enquête

2 Damien Leloup et Martin Untersinger, « Les révélations d'un lanceur d'alerte sur l'arsenal sécuritaire du Maroc, des logiciels espions aux caméras dans les climatisations », enquête avec le consortium coordonné par Forbidden Stories et le Security Lab d'Amnesty International, Le Monde, 16 juillet 2026. Lire l'enquête

3 Elise Vincent, « Pourquoi la guerre hybride menée par la Russie pousse la France à hausser le ton », Le Monde, 17 juillet 2026. Lire l'article

4 Rémi Dupré, « Affaire Édouard Philippe : le tribunal administratif de Paris conforte le statut de lanceuse d'alerte de la plaignante », Le Monde, 17 juillet 2026. Lire l'article

Pour aller plus loin

Sur ce site

Qui compte les voix ? — premier volet : l'infrastructure électorale.

Qui compte les morts ? — deuxième volet : l'infrastructure du comptage sanitaire.

Polkadot : la symphonie des blockchains — que vaudrait une infrastructure qui n'exige pas de faire confiance ?

La manufacture du doute — l'étiquette contre la preuve, version XXe siècle.

Sources et documents

Le Monde, enquêtes des 16 et 17 juillet 2026 (citées en notes) ; Projet Pegasus (2021), Forbidden Stories et partenaires.

Anssi, visas de sécurité (ssi.gouv.fr) ; Amnesty International Security Lab, rapports sur la surveillance ciblée.