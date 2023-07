“Définitivement” terminées, les activités d’influence en ligne menées par Avisa pour le compte de ses clients, “négativement exposées dans les médias à l’été 2022” – de l’infiltration sous identités fictives des espaces collaboratifs de sites d’information à la modification clandestine de pages Wikipédia. Exit Arnaud Dassier, moitié du tandem des origines : le partenaire historique du président du groupe, Matthieu Creux, quitte le conseil de surveillance et le capital, emportant avec lui le sulfureux “fonds de commerce” dont veut se débarrasser son ex-associé, mais aussi la marque Avisa Partners, devenue synonyme d’accusations de manipulation de l’information. Derrière les éléments de langage sur la “nouvelle étape de développement”, le message est limpide : pour tenter d’en finir avec son encombrante réputation d’officine, et surtout pour se rabibocher avec les autorités françaises, Avisa, rebaptisé Forward (“en avant”), promet de montrer patte blanche.

Dans ce monde où les agents secrets côtoient les jeunes geeks, les personnalités de Matthieu Creux, fils d’un général passé au privé, et d’Arnaud Dassier, rejeton de l’ex-directeur général de la chaîne d’info LCI Jean-Claude Dassier, détonnent.

Opération cosmétique ou véritable fin d’un cycle, l’avenir tranchera. L’épisode, en tout cas, marque l’épilogue d’affrontements à l’œuvre depuis des années, d’abord souterrains, mobilisant divers réseaux au sein de l’État, puis en accéléré et pleine visibilité depuis l’été dernier. Avec, en toile de fond, les grandes manœuvres qui se jouent dans ce secteur opaque et ultra concurrentiel qu’est l’intelligence économique.

Puissante odeur de soufre

Dans ce monde où les agents secrets côtoient les jeunes geeks, où des sociétés privées s’assoient à la même table que de hauts gradés de l’armée, les personnalités de Matthieu Creux, fils d’un général passé au privé, et d’Arnaud Dassier, rejeton de l’ex-directeur général de la chaîne d’info LCI Jean-Claude Dassier, détonnent. Le premier, 36 ans aujourd’hui, est décrit par un proche comme “provocateur aux dents longues, amateur de conflits”, peut-être “légèrement immature” à l’époque où il se lance dans le business, grisé par les millions qui ont commencé à tomber de cette lucrative activité. Avec le second, un “pur libéral” limite “prêt à tout”, engagé auprès de Nicolas Sarkozy puis d’Eric Zemmour lors de l’élection présidentielle de 2022, ils ont formé un duo d’entrepreneurs largement perçu comme expéditif…

Le rachat de partenaires historiques du ministère des Armées, ses relations commerciales jugées peu conformes (voire franchement opposées) aux intérêts français, ont valu à l’équipe Creux-Dassier de s’attirer les foudres des services de renseignement et d’une partie de la haute administration. Sa politique d’acquisitions tous azimuts l’a mis en concurrence directe avec le leader français du renseignement d’affaires, l’Adit (nouveau nom de l’Agence pour la diffusion de l’information technologique), dans lequel l’État détient une action de préférence. Enfin, l’accumulation de révélations de presse sur les opérations d’influence en ligne plus que douteuses de Forward et sur sa clientèle – qui compte ou a compté, selon Mediapart, son lot de régimes autoritaires à dictatoriaux, de l’Egypte à la Turquie en passant par le Kazakhstan, le Qatar ou la République démocratique du Congo – a valu à la société, jusqu’alors peu connue du grand public, de laisser dans son sillage une puissante odeur de soufre.

L’apogée de la crise entre Forward (alors Avisa) et l’État a été atteint fin mars, lorsque les ministères de l’Intérieur et des Armées se sont accordés sur un boycott du Forum international de la cybersécurité (FIC), le grand raout annuel du secteur qu’organise l’entreprise. Une décision commune emportée, selon nos informations, par les dernières notes de la Direction générale de la sécurité intérieure (DGSI) et de son homologue de la sécurité extérieure (DGSE). D’après les analyses dont Libération a eu connaissance, les deux services ont accusé Avisa d’avoir continué à réaliser des opérations en contradiction avec les intérêts diplomatiques et économiques français, y compris via des méthodes fort peu régulières – ce dont l’entreprise se défend vigoureusement. Et ce, malgré de premiers avertissements il y a trois ans.

En cause, notamment, le rachat en 2021 du cabinet de relations publiques 35° Nord : ce spécialiste de la communication et de l’influence, très implanté sur le continent africain, réaliserait près de la moitié de son chiffre d’affaires avec Huawei. Or, l’équipementier chinois est surveillé de très près, entre autres parce que son enracinement dans l’ancien pré carré colonial est vu comme contraire aux intérêts de l’opérateur historique, Orange.

Mais c’est surtout une autre filiale de Forward qui se retrouve particulièrement dans le viseur des services de renseignement : l’entreprise de cybersécurité Lexfo, qu’ils soupçonnent de garder à son profit certaines failles informatiques qu’elle découvre chez ses donneurs d’ordre, voire de s’être livrée à des activités offensives pour le compte de clients du groupe. Ils la suspectent ainsi d’avoir été missionnée, on ne sait par qui, pour interrompre les transmissions de la chaîne qatarie BeIn Sports aux Émirats arabes unis, durant la Coupe du monde de football qui s’est déroulée à Doha l’hiver dernier…

Ce que dément formellement Forward auprès de Libération : la société précise que Lexfo a conduit un audit de sécurité informatique pour le compte de la chaîne, sans lien avec la compétition sportive, et évoque une possible “méprise” liée à l’activité, “extrêmement encadrée”, d’une autre de ses filiales, Rivendell, spécialisée dans les demandes de retrait d’URL proposant des contenus pirates auprès des moteurs de recherche, pour le compte de titulaires de droits audiovisuels. “Aucune faille informatique [découverte par Lexfo] n’est utilisée à des fins offensives”, affirme Forward.

Marché opaque

Ce contentieux avec Lexfo vient de loin. C’est précisément autour de cette entreprise que s’est noué le conflit originel entre certains secteurs régaliens et le groupe d’intelligence économique. L’affaire remonte à 2018. Cette année-là, le tandem formé par Matthieu Creux et Arnaud Dassier décide d’associer son cabinet d’influence Demeter Partners (ex-iStrat) à une société de lobbying belge, Avisa (qui donnera son nom à l’ensemble), et surtout à Lexfo. Ce “cabinet d’expertises techniques” était à l’époque un sous-traitant de la DGSE. Qui n’a pas du tout apprécié de le voir passer sous cette nouvelle bannière.

Créé en 2007, Lexfo a pour spécialité la sécurité informatique dite “offensive” : pour évaluer le niveau de protection des réseaux de ses clients, l’entreprise pratique des tests d’intrusion (ou pentests, de l’anglais “penetration tests”) particulièrement poussés. Son fondateur et président, Samuel Dralet, est une figure historique du secteur, ancien expert judiciaire auprès de la cour d’appel de Paris. Lexfo est aussi peu connu du grand public qu’il est renommé parmi les spécialistes pour son savoir-faire en matière de recherche de failles informatiques, en particulier celles qui n’ont pas encore été rendues publiques ni corrigées par les éditeurs de logiciels, et contre lesquelles il n’existe donc aucune protection.

Pour les sociétés de cybersécurité, la mise au jour de telles vulnérabilités, dites “zero-day”, est un marqueur très important de réputation. Mais ces failles sont également très prisées des services de renseignement, qui s’en servent pour surveiller leurs cibles, et font l’objet d’un marché aussi opaque que lucratif. Et justement, à l’époque de la fusion, Lexfo, en sus de son business d’audits pour sa clientèle privée et publique, remplissait pour la DGSE une fonction ultrasensible : à savoir lui fournir, selon la formule pudique d’un bon connaisseur de la matière, de l’“outillage”. Boulevard Mortier, dans le XXe arrondissement parisien, la direction technique du service secret – chargée de développer ses moyens d’ingénierie, d’interception, de décryptage, etc. – a d’autant moins goûté l’absorption de ce précieux prestataire qu’elle a été mise devant le fait accompli… “Certains dans les services l’ont pris personnellement”, décrypte un ancien du renseignement extérieur.

Relations dégradées

Au demeurant, Arnaud Dassier et Matthieu Creux n’étaient pas les seuls à s’intéresser à Lexfo : selon nos informations, l’Adit avait elle aussi entamé des discussions, en 2017, avec l’entreprise. Cette dernière a préféré se faire absorber par Forward. Au prix de ses relations commerciales avec la DGSE, qui se sont arrêtées, et de ses habilitations “secret défense”, qui lui ont alors été retirées. Un coup dur : sans ces précieux sésames, délivrés par la Direction générale de l’armement (DGA) après enquête de la Direction du renseignement et de la sécurité de la défense (DRSD), les contrats les plus sensibles deviennent hors de portée, y compris dans le secteur privé, qui exige bien souvent l’habilitation de l’État comme label de confiance et gage de sécurité.

“Associer au sein du même groupe une activité d’influence et une capacité cyberoffensive : le modèle est en soi vicié”, tacle une source proche du dossier au sein du renseignement. À l’époque, le rapprochement avec Lexfo a valu à Matthieu Creux un avertissement clair de la part des autorités sur les lignes rouges à respecter lorsqu’on a dans sa manche un tel savoir-faire. La DGA, par la suite, a redonné à la société de cybersécurité son sésame “secret défense” pour certains contrats. Et Lexfo n’a jamais cessé de faire partie de la petite dizaine d’entreprises labellisées pour tester la robustesse des produits de sécurité informatique par l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’autorité chargée de superviser la protection des réseaux de l’État et des entreprises sensibles. Mais la défiance envers Matthieu Creux et Arnaud Dassier ne s’est pas calmée après ce différend inaugural. Bien au contraire.

Le binôme va continuer à arpenter des terrains sensibles. En 2019, Lexfo approche pour le groupe une autre pépite de la sécurité informatique offensive, la société Synacktiv ; la démarche, qui fait grincer des dents dans les ministères régaliens, restera sans suite. L’année suivante, Forward rachète une entreprise très proche des milieux militaro-industriels, Ceis (l’ex-Compagnie européenne d’intelligence stratégique), maître d’œuvre du FIC et des Universités d’été de la défense. Matthieu Creux a beau être le fils d’un ancien patron de la DRSD (aujourd’hui directeur de la sécurité de la Société générale sur le départ), l’acquisition est vue, là encore, d’un très mauvais œil à l’hôtel de Brienne, chez le ministre des Armées. Auprès de Libération, la direction du groupe se défend : “C’est vrai qu’il y a eu un problème de perception à notre propos, en raison de nos activités dans le monde politique et l’accompagnement électoral que nous proposions. Nous avons arrêté en septembre 2018.”

À entendre Matthieu Creux, les dirigeants de Forward ont alors fait le tour des administrations régaliennes pour désamorcer le “procès en patriotisme”, selon ses mots, qui leur était fait. En avril 2019, un rendez-vous au siège de la DGSE, boulevard Mortier, avec son directeur technique et celui de la DGSI, aurait permis de jouer cartes sur table. Suffisant pour apaiser les tensions ? Manifestement non, puisqu’en janvier 2020, les deux services de renseignement tirent la sonnette d’alarme auprès de leurs autorités de tutelle, dans une note commune dévoilée à l’automne dernier par Mediapart. Entre autres griefs, la DGSE et la DGSI reprochent à Forward une recherche débridée de clients allant jusqu’à démarcher des entités concurrentes. Surtout, ils l’accusent d’avoir contrarié les intérêts français en travaillant pour des figures non “adoubées” par Paris, en particulier en Afrique.

Ainsi en est-il, comme l’avait révélé Jeune Afrique, de l’élection présidentielle malienne de 2018 : le groupe et 35° Nord, pas encore unis mais déjà en affaire, avaient alors œuvré pour Soumaïla Cissé, challenger du sortant Ibrahim Boubacar Keïta (surnommé “IBK”), finalement réélu. Ce dernier, par ailleurs ami du ministre Jean-Yves Le Drian, avait la préférence des militaires français (deux ans plus tard, il a été renversé par un coup d’État). Pas de quoi gêner Matthieu Creux, qui avait même souhaité, selon nos informations, que Forward propose en parallèle ses services à IBK, avant de renoncer.

L’avertissement finit par être entendu. En mars 2020, en gage de bonne volonté, le groupe recrute parmi ses associés un ex-conseiller d’Emmanuel Macron, Sylvain Fort. Une nouvelle phase semble s’ouvrir : “Ils avaient fait l’effort avec lui de purger les sujets” qui causaient du souci aux espions français, indique une source au fait du dossier.

Mais deux ans plus tard, les relations se sont à nouveau dégradées. L’ex-plume présidentielle a quitté Forward : Sylvain Fort – qui n’a pas souhaité répondre à Libération – “a fait le tour des ministères en disant qu’il avait échoué”, assure une source bien informée au sein du renseignement. Comprendre : malgré les promesses, le groupe d’intelligence économique ne se serait pas amendé. Un autre départ marque les esprits : celui de Maurice Gourdault-Montagne, ancien “sherpa” – conseiller diplomatique – de Jacques Chirac, ambassadeur de France, senior advisor (non salarié et rémunéré selon ses interventions) au sein de la société.

À partir de l’été, les articles qui mettent sur la place publique les pratiques de Forward en matière d’influence numérique font entrer le groupe dans la pire crise réputationnelle de son histoire. À l’automne, Mediapart évoque en prime un rapport interne “faisant état d’une cyberattaque” contre un opérateur téléphonique au Tchad, Airtel Africa, “ayant visé plusieurs opposants déclarés au régime”. Le groupe dément tout piratage et affirme qu’il a simplement analysé des “informations techniques” transmises par la présidence tchadienne dans le cadre d’une mission d’étude de l’“ingérence russe”, interrompue “faute de garanties contractuelles”.

Coup de grâce

Un autre épisode – resté secret, lui – ne va pas arranger les affaires de Forward. Selon nos informations, en avril 2022, un employé de Lexfo qui réalisait un audit de sécurité informatique pour le compte d’Assystem, l’un des leaders mondiaux de l’ingénierie nucléaire, a oublié de déclarer à son donneur d’ordre l’adresse IP de son ordinateur. Résultat : son test d’intrusion a été pris pour une attaque malveillante, et Assystem a porté plainte… Compte tenu de la sensibilité des activités de l’ingénieriste, le dossier est remonté à la DGSI. En août, l’employé est placé en garde à vue, son domicile aquitain est perquisitionné. L’enquête est toujours en cours, mais le groupe assure que la relation commerciale a repris (Assystem n’a pas donné suite à nos sollicitations). En tout cas, la rumeur d’investigations menées par le contre-espionnage se répand dans le petit milieu.

À lire aussi

Au printemps, le boycott du FIC, dont Forward avait fait la vitrine de ses relations avec les sphères régaliennes, est un coup de grâce. Même s’il n’est pas total : l’Anssi n’y a certes pas tenu stand, à l’instar des composantes des ministères des Armées et de l’Intérieur, mais a tout de même dépêché son directeur général, Vincent Strubel, pour un discours en séance plénière. Seul présent du gouvernement, le ministre délégué de la Transition numérique, Jean-Noël Barrot, est intervenu à distance et en vidéo. Service ultra minimum.

C’est qu’il y a, autour de cet épisode, une certaine gêne. La décision de retrait des troupes étatiques en dernière minute a aussi soulevé quelques agacements : “On aurait dû traiter ça il y a six mois”, pestait alors une source sécuritaire. Aux dires de nombreux interlocuteurs de Libération, si la stratégie d’ultracroissance, les méthodes agressives et les choix de clientèle de la direction de Forward ont suscité au sein de l’État bien des préventions, c’est surtout le binôme Creux-Dassier qui semble avoir concentré sur lui l’essentiel de la défiance, ou des hostilités plus ou moins déclarées.

“Légende noire”

Car la distance ne s’est pas creusée à parts égales avec toutes les composantes du groupe, avant ou même après l’acmé de la crise. Ce n’est pas pour rien qu’en signe de mue affichée, Forward a propulsé à sa direction générale le patron de Ceis, Guillaume Tissier, pilier du FIC depuis dix ans, peu clivant dans les milieux de la défense. Et malgré les soupçons nourris par la DGSE et la DGSI à l’égard de Lexfo, ou les interrogations autour de la “mission” avortée de Forward pour le Tchad, l’entreprise de cybersécurité a décroché fin juin un précieux label, celui de “prestataire de réponse aux incidents de sécurité” délivré par l’Anssi – en clair, la certification de l’État pour intervenir chez des victimes d’attaque informatique, qu’elle partage avec une petite poignée de sociétés, dont Orange Cyberdefense et une filiale de Thales. Tous les secteurs régaliens ne sont, d’évidence, pas sur la même longueur d’onde. Contactées, ni la DGSE, ni la DGSI, ni l’Anssi n’ont souhaité s’exprimer.

Les patrons de Forward, eux, dénoncent une “légende noire” entretenue par “des sources individuelles et anonymes médisantes”, ou appuyée sur les avis de concurrents “que notre croissance bouscule”. De quoi créer, déplorent-ils, un “faux sentiment de défiance entre l’administration française et [le] groupe”. Reste qu’il a bien fallu ravaler la façade, et que la direction semble avoir rendu les armes. Dans un échange avec Libération, elle prévient néanmoins : “Nous n’acceptons plus d’être une cible facile pour nos concurrents.” Si elle a perdu une bataille, la guerre n’est peut-être pas terminée.