Josef Fuchs - L'ingénieur philanthrope qui a bâti l'empire de la surveillance First Wap
Ce 14 octobre 2025, Lighthouse Reports a balancé une enquête mondiale qui fait actuellement trembler l’industrie de la surveillance. Pour cette enquête titanesque, ce sont 70 journalistes de 14 médias différents dont Le Monde, Der Spiegel et Mother Jones qui ont bossé pendant des mois sur le même dossier et celui-ci est explosif.
Leur sujet c’est First Wap, une boîte indonésienne qui a discrètement espionné au fil des années, plus de 14 000 numéros de téléphone dans 168 pays grâce à un logiciel baptisé Altamides. Leurs cibles sont des journalistes d’investigation, des activistes, des PDG, des célébrités, même la fondatrice de 23andMe. Et ils ont fait tout cela, en exploitant une faille vieille comme le monde dans les réseaux télécoms.
L’un des cofondateurs de First Wap est même français et s’appelle Pascal Lalanne. Il a crée cette boîte en 1999 à Jakarta avec Josef Fuchs, un Autrichien au destin hors du commun, mais avant de vous raconter comment ils ont construit cet empire de la surveillance, rembobinons un peu pour comprendre toute cette histoire depuis le début…
Direction 1984, l’année où Josef Fuchs, jeune ingénieur autrichien de Siemens fraîchement débarqué de son Tyrol natal, pose ses valises à Jakarta pour ce qui devait être une mission de trois mois. Il doit installer des systèmes de télécommunications pour le tout nouveau aéroport de Cengkareng. L’Indonésie représente son dernier contrat avec Siemens après huit ans de bons et loyaux services.
Sauf que Fuchs tombe amoureux du pays, de sa culture, et de ses possibilités infinies. En 1989, fidèle à ses racines européennes, il retourne en Allemagne de l’Est juste après la chute du Mur pour monter une boîte et une école. Le projet est un succès qui perdure encore aujourd’hui, mais l’appel de l’Asie reste plus fort.
Le 1er janvier 1995, Fuchs reçoit un fax décisif d’un ami indonésien : “La dérégulation est arrivée. Tu viens ?” Quatre jours plus tard, le 5 janvier, il embarque direction Jakarta. Cette fois, c’est pour bosser chez Telkomsel, l’un des plus gros opérateurs télécoms indonésiens qui émerge de cette nouvelle ère de libéralisation du marché.
Et c’est là, dans les entrailles de Telkomsel, que Fuchs comprend. Il passe ses journées à plonger dans les réseaux téléphoniques indonésiens et voit passer des millions de signaux de communication entre les opérateurs du monde entier. Tous transitent par le même protocole ancestral : SS7, pour Signalling System 7.
Développé par AT&T en 1975 et standardisé en 1980 , SS7 représente le système nerveux des télécommunications mondiales. Concrètement, quand vous appelez quelqu’un à l’étranger, c’est SS7 qui fait transiter l’appel d’un opérateur à l’autre. Quand vous recevez un SMS en vacances au bout du monde, c’est SS7 qui route le message. Le système est omniprésent, invisible, et surtout terriblement obsolète.
Le souci c’est que SS7 n’a jamais été conçu pour être sécurisé. À l’époque de sa création, seuls les opérateurs télécoms publics y avaient accès et on leur faisait une confiance aveugle. Donc pas de vérification d’identité forte, pas de chiffrement costaud, rien. Une confiance naïve qui date d’une ère où Internet n’existait pas encore.
Fuchs réalise le potentiel colossal de cette faiblesse structurelle et fonde en 1999 First Wap avec Pascal Lalanne, ce Français dont on ne sait presque rien encore aujourd’hui. L’association Fuchs-Lalanne est un duo Franco-Autrichien redoutable : l’un apporte l’expertise technique accumulée chez Siemens et Telkomsel, l’autre la vision business et les connexions en Asie du Sud-Est.
First Wap démarre initialement dans la messagerie électronique par SMS, un service qui cartonne en Asie où les téléphones portables se multiplient à une vitesse folle. Mais en 2000, la bulle Internet explose et tout le secteur tech vacille. Lalanne quitte alors le navire en 2004 , revend ses parts et disparaît ensuite complètement des radars. Depuis vingt ans, c’est silence radio total. Aujourd’hui, on sait juste qu’il s’est reconverti dans l’écologie et a dirigé un sanctuaire naturel à Lombok, en Indonésie. Un virage à 180 degrés.
Mais Fuchs, lui, continue. Et il a une idée qui va révolutionner le marché de la surveillance.
Début des années 2000, Fuchs et son équipe créent alors Altamides. Le nom signifie Advanced Location Tracking and Mobile Information and Deception System. L’idée c’est d’exploiter SS7 pour faire croire au réseau télécom que vous êtes un opérateur légitime. Cela permet de localiser n’importe quel téléphone en temps réel, d’intercepter des SMS, d’écouter des appels, et même de pirater WhatsApp (oui, je vous explique tout après).
Pas besoin d’infecter le téléphone de la victime comme avec Pegasus ou un logiciel espion complexe qui coûte des millions. Non, Altamides opère au niveau du réseau télécom lui-même , ce qui le rend plus discret, plus simple à déployer, et surtout ça fonctionne partout dans le monde sans exception.
Techniquement parlant, First Wap loue des Global Titles (des adresses réseau utilisées par le protocole SS7) auprès d’opérateurs complaisants, notamment Mobilkom Liechtenstein . Ces adresses leur permettent d’envoyer des requêtes de localisation qui semblent parfaitement légitimes aux yeux des réseaux télécoms mondiaux. Le système ne peut tout simplement pas faire la différence.
Pour vous la faire simple, si votre téléphone est allumé, Altamides peut vous trouver où que vous soyez sur la planète. Et vous ne vous en rendrez jamais compte. Aucune trace sur votre appareil, aucun signe d’infection, aucune batterie qui chauffe bizarrement… C’est l’outil d’espionnage parfait.
L’enquête de Lighthouse Reports permet de mettre la main sur 1,5 million d’enregistrements de tracking récupérés sur le dark web. On parle ici de plus de 14 000 numéros uniques espionnés dans 168 pays entre 2007 et 2014. Mais le vrai chiffre est probablement bien plus élevé puisque l’archive ne représente qu’une fraction de l’activité totale d’Altamides.

Plus c’est violet, plus y’a de cibles. L’Indonésie, et le Nigeria sont particulièrement touchés
Et leur tableau de chasse est hallucinant…
Gianluigi Nuzzi, journaliste d’investigation italien spécialisé dans les affaires vaticanes, publie en mai 2012 son livre explosif “Sua Santità” (Sa Sainteté : Les papiers secrets de Benoît XVI). L’ouvrage révèle des documents confidentiels montrant corruption, luttes de pouvoir et opacité financière au cœur du Vatican. C’est le début du scandale “Vatileaks”.
Et quelques heures seulement après la sortie du bouquin, son téléphone se retrouve tracké par Altamides. Ainsi, pendant que la police vaticane recherche désespérément sa source, quelqu’un d’autre suit Nuzzi à la trace via son smartphone. Les requêtes Altamides tombent d’abord manuellement et irrégulièrement, puis deviennent automatiques à partir du 22 mai. Toutes les heures, à la minute près, soit près de 200 localisations en une semaine.
Le tracking montre Nuzzi à Milan près de son ancien appartement, sur l’autoroute en direction de Rome, dans le centre historique près de la fontaine de Trevi, à l’aéroport et chaque déplacement est méticuleusement consigné.
Quelqu’un voulait savoir s’il rencontrait sa source et où.
Le 23 mai 2012, cinq jours après le début de la surveillance, la gendarmerie vaticane arrête Paolo Gabriele, le majordome personnel du pape depuis 2006. L’homme de 46 ans avait un accès privilégié au bureau privé de Benoît XVI et utilisait le photocopieur du bureau partagé avec les deux secrétaires papaux pour copier documents et lettres confidentielles marquées “à détruire”. Il transmettait ensuite ces copies à Nuzzi lors de rencontres nocturnes dignes d’un thriller hollywoodien à base de longs trajets en voiture pour s’assurer qu’ils n’étaient pas suivis, avec des rencontres dans un appartement vide avec une seule chaise où attendait la source au nom de code “Maria”.
Le 24 mai, le lendemain de l’arrestation de Gabriele, le tracking de Nuzzi s’arrête net. Mission accomplie ? Les documents internes révèlent que la société britannique KCS Group, revendeur d’Altamides, avait présenté le système à des “gens du V.” (le Vatican) à Milan quelques jours avant l’arrestation. La présentation incluait les cartes de déplacement de Nuzzi en temps réel. Le Vatican n’a jamais répondu aux questions des journalistes sur cette affaire.
Paolo Gabriele sera condamné à 18 mois de détention pour vol aggravé. Il dira avoir agi pour dénoncer le “mal et la corruption” qu’il voyait autour du pape, manipulé par son entourage. Benoît XVI le graciera après quelques mois et Gabriele décédera en novembre 2020 à 54 ans d’une longue maladie.
Autre cible, Patrick Karegeya, ancien chef des renseignements extérieurs du Rwanda et bras droit de Paul Kagame, vit en exil forcé en Afrique du Sud depuis 2007. Après avoir aidé Kagame à prendre le pouvoir en 1994, il est tombé en disgrâce, emprisonné deux fois pour “insubordination”, et a fui pour échapper à un sort pire encore. Avec le Général Kayumba Nyamwasa (ancien chef d’état-major), il fonde le Rwanda National Congress, principal mouvement d’opposition en exil.
L’archive d’Altamides montre qu’en janvier 2012, le téléphone d’Emile Rutagengwa, chauffeur et garde du corps de Karegeya, est tracké à plusieurs reprises. En mai, c’est Rosette Nyamwasa, l’épouse du Général, qui devient une cible. Quelqu’un cartographie méthodiquement l’entourage des deux opposants.
Le soir du 31 décembre 2013, Karegeya a rendez-vous au luxueux hôtel Michelangelo Towers de Sandton, le quartier d’affaires huppé de Johannesburg, avec Apollo Kiririsi Gafaranga, un homme d’affaires rwandais qu’il connaît depuis l’époque où il dirigeait les services secrets. À 19h46, Karegeya envoie un dernier message rassurant à son neveu David Batenga. Tout va bien, il est avec Apollo.
Le 1er janvier 2014 vers 17h30, le personnel de l’hôtel découvre Karegeya étranglé dans la chambre 905, une serviette ensanglantée et une corde retrouvées dans le coffre-fort de la chambre. Apollo Kiririsi a disparu et a déjà pris un vol pour Kigali. La surveillance Altamides a précédé cet assassinat de 18 mois.
Dans les jours suivant le meurtre, des officiels rwandais se réjouissent publiquement. La ministre des Affaires étrangères Louise Mushikiwabo tweete : “Ce n’est pas comment tu commences qui compte, c’est comment tu finis. Cet homme s’est déclaré ennemi de mon gouvernement et de mon pays. Vous attendez de la pitié ?” Le ministre de la Défense James Kabarebe est encore plus brutal : “Quand tu choisis d’être un chien, tu meurs comme un chien.”
Kagame lui-même déclare publiquement quelques jours plus tard : “Toute personne encore en vie qui complote contre le Rwanda, qui qu’elle soit, paiera le prix. Les conséquences sont les conséquences.” En 2019, un juge sud africain révèle que “des liens étroits existent entre les suspects et le gouvernement rwandais actuel”. Mais aucun des suspects n’a jamais été arrêté et continuent de vivre tranquillement au Rwanda.
La liste des cibles ressemble à un casting de thriller international. Anne Wojcicki, fondatrice de 23andMe et ex-femme de Sergey Brin (le cofondateur de Google), est surveillée de près avec plus de 1 000 opérations de tracking alors qu’elle se déplace dans la Silicon Valley.
Qui voulait savoir où allait la patronne d’une boîte qui détient les données génétiques de millions de personnes ? L’archive ne le dit pas.
On y retrouve également pèle mêle Jared Leto l’acteur hollywoodien, tracké un mois avant de commencer le tournage de Dallas Buyers Club, l’ancien Premier ministre du Qatar Hamad bin Jassim Al Thani, Asma al-Assad, l’épouse du dictateur syrien, Adam Ciralsky, journaliste primé et ancien avocat de la CIA qui enquêtait sur l’industrie de l’armement pour Vanity Fair, Erik Prince, le fondateur de Blackwater, des employés d’Airbus, des avocats internationaux, des activistes…etc.
First Wap vendait Altamides à des gouvernements (Nigéria, Malaisie, Singapour, Émirats Arabes Unis, Indonésie, Ouzbékistan, Arabie Saoudite, Biélorussie selon les documents), mais aussi à des clients privés tels que des agences de détectives, entreprises qui voulaient espionner leurs concurrents, et des types louches qui cherchaient à traquer des activistes.
Ils ne posaient aucune question, tant que le virement arrivait. “Il n’y avait pas de lignes rouges concernant les pays auxquels nous vendions Altamides”, confirme un ancien employé sous couvert d’anonymat.
En juin 2024 a lieu l’ISS World à Prague, la grand-messe annuelle de la surveillance où tous les vendeurs de logiciels espions se réunissent. Les journalistes y sont interdits. Günther Rudolph, directeur commercial autrichien de First Wap, est assis derrière son stand. Un type s’approche et se présente comme un client potentiel intéressé par des solutions de tracking pour le Niger. Il veut surveiller des activistes environnementaux qui perturbent une exploitation minière.
Rudolph explique alors sans ciller qu’ils peuvent “trouver une solution” pour les licences d’exportation malgré les sanctions européennes contre le Niger depuis le coup d’État militaire de 2023. Il détaille les capacités actuelles d’Altamides : localisation en temps réel évidemment, mais aussi interception de SMS, accès à WhatsApp via attaques SS7, et même clonage de comptes protégés par authentification à deux facteurs par SMS.
Le mec est tellement à l’aise qu’on dirait qu’il vend des photocopieurs. Il compare même First Wap aux géants israéliens NSO et Candiru : “Leurs outils deviennent obsolètes dès qu’Apple ou Google patchent une faille. Ce que vous achetez maintenant, dans deux mois vous pouvez le jeter à la poubelle. Nous, on opère au niveau réseau. Ça marche toujours.”
Et sur les sanctions et les lois d’exportation, Rudolph a une solution toute trouvée. Le lendemain, avec Jonny Goebel (le patron allemand de First Wap), ils expliquent la combine : “Ce genre d’affaire, on le fait passer par Jakarta. La signature vient de notre directeur général indien. Comme ça, nous on ne sait rien du projet.” Goebel rigole : “C’est une zone grise. Mais c’est la seule chose qui peut nous protéger d’une certaine manière.”
Ils proposent même de créer une société écran en Afrique du Sud qui achèterait Altamides avec un contrat stipulant qu’elle peut le revendre à “une agence gouvernementale non spécifiée”. First Wap pourrait ainsi prétendre ignorer l’identité du client final.
Sauf que le client a tout filmé en caméra cachée. Il s’agissait en réalité de journalistes de Lighthouse Reports en mission sous couverture et cet enregistrement fait maintenant partie du dossier de l’enquête.
Quand First Wap est confronté des mois plus tard à la vidéo lors d’un appel vidéo avec les journalistes qui révèlent leur identité, la boîte répond que des “malentendus ont manifestement eu lieu” et que les déclarations de leurs dirigeants ne faisaient référence qu’à la “faisabilité technique”.
Classique.
Ce qui est dingue dans toute cette affaire, c’est qu’on sait que SS7 est une passoire depuis très longtemps . La faille a été publiquement présenté au 31eme CCC en 2014 et est même exploité régulièrement par des cybercriminels.
En Allemagne en 2017, des pirates exploitent ce protocole pour contourner l’authentification à deux facteurs et vider des comptes bancaires en interceptant tout simplement les SMS contenant les codes de validation. En 2016 en Norvège, 30% du réseau de Telenor (le plus gros opérateur du pays) devient instable à cause de signaux SS7 suspects venant d’un opérateur européen.
Bref, tout le monde sait. Les experts en cybersécurité tirent la sonnette d’alarme depuis plus d’une décennie , mais pour migrer vers un protocole plus sûr, il faudrait que tous les opérateurs du monde se mettent d’accord et investissent des milliards dans une refonte totale de l’infrastructure.
Alors comme d’hab, on laisse traîner…
Ce qui rend l’histoire encore plus surréaliste, c’est surtout le double visage de Josef Fuchs. Car pendant qu’il développe Altamides et bâtit son empire de la surveillance, il fonde également en 1999 l’ISCO, l’ Indonesian Street Children Organization .
Cette ONG aide des milliers d’enfants indonésiens défavorisés à accéder à l’éducation. Pendant la crise financière asiatique dévastatrice de 1997-1998 qui plonge l’Indonésie dans le chaos, Fuchs organise en 98 le Student Support Festival avec le soutien du président B.J. Habibie lui-même. Avec les revenus de cet événement unique, 3 500 jeunes Indonésiens peuvent poursuivre leurs études qui auraient sinon été interrompues.
Au fil des ans, ISCO passe de 50 enfants parrainés en 1999 à plus de 2 000 enfants à travers 30 zones d’Indonésie (18 dans la région de Jakarta, 8 à Surabaya et 4 à Medan). L’organisation devient un acteur majeur de l’éducation sociale en Indonésie.
En novembre 2018, l’ambassade d’Autriche à Jakarta lui décerne la prestigieuse “ Décoration d’honneur en or pour services rendus à la République d’Autriche ”. La cérémonie officielle célèbre son action philanthropique exceptionnelle. Fuchs, né dans une famille modeste du Tyrol, fils aîné d’une mère qui n’avait pas terminé l’école primaire, est présenté comme un exemple de réussite et de générosité.
Le jour, Fuchs est un bienfaiteur reconnu par son gouvernement, applaudi par les médias locaux, respecté par la communauté autrichienne expatriée. La nuit, First Wap vend Altamides à des régimes autoritaires qui traquent des dissidents avant de les faire assassiner. Un vrai paradoxe !
L’archive découverte par Lighthouse Reports contient des données qui vont jusqu’en 2024. Visiblement, First Wap continue d’opérer activement et après la publication de l’enquête le 14 octobre 2025, Telecom Liechtenstein déclare avoir immédiatement suspendu sa relation commerciale avec First Wap et bloqué tous les services en attendant clarification. Mais combien d’autres opérateurs louent encore des accès SS7 à ce genre de boîtes de surveillance sans poser la moindre question ?
Maintenant si vous voulez savoir combien de Français ont été espionnés par Altamides, c’est impossible à dire précisément car les données de l’enquête ne donnent pas le détail par pays. Mais vu la portée mondiale du système et le fait que First Wap vendait à tout le monde sans discrimination, c’est quasi-certain que des numéros français figurent dans le lot. Des journalistes, des hommes d’affaires, peut-être des politiques…
En tout cas, le vrai scandale va bien au-delà de First Wap. Ce n’est pas uniquement qu’une boîte indonésienne a espionné des milliers de personnes pendant 20 ans. Non, c’est surtout qu’on utilise encore aujourd’hui des protocoles pourris pensés dans les années 70, basés sur une confiance aveugle d’une époque révolue.
Le vrai scandale, c’est que les opérateurs télécoms louent des accès SS7 à des boîtes de surveillance sans poser de questions, transformant nos téléphones en mouchards permanents.
Le vrai scandale, c’est que l’industrie de la surveillance s’est développée dans l’ombre pendant deux décennies, armant des dictateurs et facilitant des assassinats, pendant que nous pensions naïvement que nos communications étaient privées.
C’est tout ça, le vrai scandale.
First Wap restera donc dans l’histoire comme la pionnière de la surveillance de masse commerciale, celle qui a prouvé qu’on pouvait traquer n’importe qui, n’importe où, pour peu qu’on ait les bons contacts dans l’industrie télécom.
Altamides n’est d’ailleurs probablement que la partie émergée de l’iceberg car combien d’autres boîtes opèrent dans l’ombre avec des technologies similaires ? Combien de nos communications transitent encore par des protocoles obsolètes et non sécurisés ?
La réponse risque de ne pas vous plaire…
Sources et ressources :
- Lighthouse Reports - Surveillance Secrets - Enquête principale coordonnée par 70 journalistes
- Lighthouse Reports - How First Wap Tracks Phones - Méthodologie technique détaillée
- Le Monde - First Wap - Article en français sur l’enquête
- Mother Jones - The surveillance empire - Investigation détaillée sur First Wap
- Indonesia Expat - Meet Josef Fuchs - Portrait de Josef Fuchs
- The Jakarta Post - Josef Fuchs gets award - Sa décoration par l’Autriche
- Wikipedia - First Wap - Contexte historique
- Wikipedia - Vatican leaks scandal - Le scandale Vatileaks en détail
- Wikipedia - Patrick Karegeya - Biographie de Patrick Karegeya