World Opinions Débats De Société, Questions, Opinions et Tribunes.. La Voix Des Sans-Voix | Alternative Média
Le fait qu’un membre du personnel de Human Rights Watch ait été ciblée par le logiciel espion Pegasus souligne la nécessité urgente de réglementer le commerce mondial des technologies de surveillance, a déclaré Human Rights Watch aujourd’hui. Les gouvernements de divers pays devraient interdire la vente, l’exportation, le transfert et l’utilisation des technologies de surveillance tant que des systèmes protégeant les droits humains ne sont pas en place.
Lama Fakih, directrice de la division Crises et conflits ainsi que du bureau de Human Rights Watch à Beyrouth, a été ciblée à cinq reprises par le logiciel espion Pegasus entre avril et août 2021. Le logiciel Pegasus est développé et vendu par NSO Group, société basée en Israël. Ce logiciel est introduit subrepticement dans les téléphones portables des personnes ciblées. Une fois Pegasus installé dans l’appareil, le client contrôlant ce logiciel peut s’en servir en tant que puissant outil de surveillance en obtenant un accès complet à la caméra du téléphone, aux appels, aux médias, au microphone, aux courriels, aux SMS et à d’autres fonctions, ce qui permet de surveiller la personne ciblée et ses contacts.
« Des gouvernements se servent du logiciel espion de NSO Group pour surveiller et réduire au silence des défenseur·e·s des droits humains, des journalistes et d’autres personnes qui exposent leurs abus », a déclaré Deborah Brown, chercheuse senior de Human Rights Watch et chargée du plaidoyer sur les droits numériques. « Le fait qu’ils puissent le faire en toute impunité, malgré les preuves confondantes des abus, non seulement porte atteinte aux efforts des journalistes et des groupes de défense des droits humains visant à demander des comptes à des détenteurs du pouvoir, mais met également en grand danger les personnes qu’ils essaient de protéger. »
Lama Fakih, qui a la double nationalité libanaise et américaine, supervise les réponses de Human Rights Watch aux situations de crise dans divers pays dont la Syrie, le Myanmar, Israël et la Palestine, la Grèce, le Kazakhstan, l’Éthiopie, le Liban, l’Afghanistan et les États-Unis. Il s’agit notamment de documenter et d’exposer les atteintes aux droits humains et les graves crimes internationaux lors des conflits armés, des catastrophes humanitaires et des graves troubles sociaux ou politiques. Ce travail peut avoir attiré l’attention de divers gouvernements, dont certains sont suspectés d’être des clients de NSO Group, a déclaré Human Rights Watch.26 janvier 2022
Lama Fakih, qui vit au Liban et supervise le travail de l’organisation sur les zones de conflit, a été ciblée par une cyber-attaque étatique
« Ce n’est pas le hasard si les gouvernements utilisent les logiciels espions pour cibler les activistes et les journalistes, c’est-à-dire les personnes qui dévoilent leurs pratiques abusives », a déclaré Lama Fakih. « Ils semblent penser que par ce biais, ils peuvent consolider leur pouvoir, faire taire les voix dissidentes et protéger leur manipulation des faits. »
Le 24 novembre 2021, Apple a notifié à Lama Fakih via courriel, iMessage et alerte sur l’écran de connexion AppleID que des attaquants soutenus par un État ciblaient peut-être son iPhone personnel. Après avoir réalisé une analyse criminalistique numérique de ses iPhones actuel et précédent, l’équipe de Human Rights Watch chargée de la sécurité de l’information a établi que les appareils avaient été infectés par Pegasus. Le Security Lab d’Amnesty International a réalisé une évaluation entre pairs de l’analyse qui a confirmé ces conclusions.
Les téléphones de Lama Fakih ont été infectés via une technique dite « zéro clic », c’est-à-dire sans avoir besoin d’une action de sa part, comme cliquer sur un lien. Il s’agit d’une technique d’attaque de pointe et très sophistiquée, qui est aussi efficace pour compromettre les appareils qu’elle est, pour la cible, difficile à détecter ou empêcher.
Le fait de cibler Human Rights Watch par le biais de Pegasus vient s’ajouter à une liste sans cesse croissante de défenseurs des droits humains, de journalistes, de politiciens, de diplomates et d’autres personnes dont les appareils ont été compromis par le logiciel espion Pegasus, en violation de leurs droits.
En juillet 2021, un consortium coordonné par Forbidden Stories, une organisation médiatique à but non lucratif basée à Paris, avec l’appui technique d’Amnesty International, a révélé que le logiciel Pegasus avait été utilisé pour infecter les appareils de dizaines d’activistes, journalistes et figures de l’opposition dans de multiples pays. Le consortium a par ailleurs identifié des clients potentiels de NSO en Arabie saoudite, en Azerbaïdjan, au Bahreïn, aux Émirats arabes unis, en Hongrie, en Inde, au Kazakhstan, au Maroc, au Mexique, au Rwanda et au Togo.
Rien que ces trois derniers mois, des enquêtes ont révélé que le logiciel espion Pegasus avait été employé pour infecter les appareils, entre autres, de six défenseurs des droits humains palestiniens, de quatre activistes kazakhs de la société civile, de onze diplomates américains en Ouganda, de deux figures de l’opposition polonaise, d’un membre d’une enquête indépendante de l’ONU sur les droits humains au Yémen, d’une défenseure des droits humains au Bahreïn, d’une défenseure des droits humains en Jordanie et de 35 journalistes et membres de la société civile d’El Salvador.
En réaction aux preuves montrant que Pegasus a été utilisé pour cibler les défenseur·e·s des droits humains, journalistes et dissident·e·s, NSO Group a souvent répété que sa technologie était agréée à la seule fin d’apporter aux gouvernements et aux institutions de l’État la capacité de combattre légalement le terrorisme et la criminalité et qu’il ne se servait pas du logiciel espion qu’il vendait à ses clients étatiques.
NSO Group a répondu à la demande de commentaires de Human Rights Watch en affirmant « ne pas disposer d’informations sur un client actif qui utiliserait [sa] technologie contre un membre du personnel de Human Rights Watch » et qu’il ouvrirait une évaluation initiale concernant notre allégation afin de déterminer si une enquête était nécessaire. L’entreprise a affirmé qu’elle prenait « très au sérieux toute allégation d’utilisation abusive de [son] système à l’encontre d’un défenseur des droits humains » et qu’une telle utilisation abusive irait à l’encontre de ses politiques et des termes de ses contrats avec ses clients. L’entreprise nous a demandé de consulter sa Politique sur les lanceurs d’alerte et son Rapport de transparence, qui exposent les mesures qu’elle prend face à de telles allégations.
Les récentes actions entreprises par des gouvernements et d’autres entités contre les sociétés de surveillance sont des mesures positives, a déclaré Human Rights Watch, mais une réglementation étatique plus coordonnée et plus ambitieuse est indispensable pour contrôler le secteur en plein épanouissement des technologies de surveillance, dont NSO Group. Les États devraient mettre en place un moratoire sur la vente, l’exportation, le transfert et l’utilisation des technologies de surveillance, tant que des systèmes protégeant les droits humains ne sont pas en place.
« Les gouvernements devraient agir, face aux preuves accablantes des atteintes aux droits que la vente incontrôlée de technologies de surveillance déclenche dans le monde entier », a conclu Deborah Brown. « Les défenseur·e·s des droits humains appellent à réglementer, d’importantes sociétés portent plainte, tandis que l’échec des États à agir de façon décisive contre le secteur des logiciels espions menace gravement les droits humains fondamentaux. »
Informations complémentaires
Actions récentes entreprises contre des éditeurs de logiciels espions
Ces derniers mois, des entreprises et des États ont commencé à prendre des mesures à l’encontre de sociétés éditant des logiciels espions. Le 19 juillet 2021, dans le sillage des informations rapportées par le Projet Pegasus, Amazon Web Services a annoncé qu’il avait désactivé des comptes de cloud liés à NSO Group. Le 3 novembre, le département du Commerce des États-Unis a annoncé sa décision d’ajouter NSO Group et Candiru, une autre société basée en Israël qui produit des logiciels espions, à sa liste de restriction en matière de commerce (Liste des entités) en raison de ses « actions contraires aux intérêts de politique étrangère et de sûreté nationale des États-Unis ».
Cette décision interdit d’exporter des États-Unis, à destination du groupe NSO, tout type de matériel ou programme informatique sans une autorisation spéciale du département du Commerce des États-Unis. Même si elle ne bloque pas légalement tous les soutiens matériels (financiers ou techniques), la décision met effectivement sur liste noire les deux entreprises aux États-Unis.
Le 9 septembre 2021, les règles actualisées de l’Union européenne sur l’exportation de technologies de surveillance sont entrées en vigueur. Ce règlement ne va pas aussi loin que ne le souhaitaient les groupes de défense des droits humains : notamment il ne bannit pas la vente de technologies de surveillance aux gouvernements abusifs. Mais il exige de la Commission de l’UE de publier le nombre de demandes de licence d’exportation pour chaque type de technologie de surveillance et pour chaque État membre, ainsi que la destination de l’exportation. Il ajoute également les risques en matière de droits humains parmi les critères à considérer pour accorder une licence d’exportation. L’impact de la nouvelle réglementation devrait être optimisé à travers une interprétation large et une application rigoureuse, a déclaré Human Rights Watch.
En novembre, la société Apple a commencé à notifier ses utilisateurs si elle soupçonne qu’ils ont été visés par une attaque via un logiciel espion pilotée par un État – d’où la notification reçue par Lama Fakih.
Le 23 novembre 2021, Apple a porté plainte contre NSO Group et sa société affiliée pour surveillance et ciblage d’utilisateurs d’Apple. Cela faisait suite au procès intenté par WhatsApp concernant les allégations selon lesquelles le logiciel espion de NSO Group avait été utilisé pour pirater 1 400 usagers de l’application en 2019.
Une longue histoire d’abus à l’aide de logiciels espions
Des organisations de défense des droits humains, des universitaires et des journalistes rapportent depuis plus de vingt ans que les États emploient des logiciels espions du commerce pour bafouer les droits.
Parmi les technologies de surveillance commercialisées, on trouve du matériel informatique, des logiciels et des services permettant une surveillance, dissimulée ou non, de systèmes numériques par des systèmes numériques, dans le but de suivre, extraire, recueillir et analyser des données. La dépendance des gens vis-à-vis des outils et technologies numériques ayant connu une croissance exponentielle au cours des vingt dernières années, les technologies de surveillance ont d’autant plus suscité l’intérêt de nombreux États. La mise au point de technologies de surveillance toujours plus efficaces et intrusives a par ailleurs accentué les risques que leur utilisation abusive représente pour les droits humains.
Les technologies de surveillance commerciales peuvent effectuer une grande diversité de fonctions, notamment l’extraction subreptice de données des appareils personnels, le suivi de la localisation, qui peut fournir des informations sensibles et révélatrices sur l’identité, la localisation, le comportement, les associations et les activités d’une personne, la deep packet inspection, qui permet le suivi, l’analyse et la redirection du trafic Internet et peut être employée pour contaminer les appareils avec des malwares et les empêcher de se connecter à certains sites Internet, ou encore les technologies de reconnaissance faciale et émotionnelle, qui cherchent à capter et détecter les caractères faciaux d’une personne ou à déduire ses émotions ou intentions de l’expression de son visage, en se fondant sur des systèmes de classification extrêmement contestables.
Beaucoup de sociétés faisant commerce de logiciels espions sont basées aux États-Unis, au Canada, en Europe, au Royaume-Uni et en Israël – même si, du fait de l’opacité dans laquelle opère le secteur de la surveillance, il est impossible de connaître son étendue réelle.
Ciblage des appareils d’un membre du personnel de Human Rights Watch
Apple a notifié Lama Fakih, directrice de la division Crises et conflits de Human Rights Watch, par courriel, iMessage et alerte sur l’écran de connexion AppleID, que des attaquants soutenus par un État ciblaient peut-être son iPhone personnel, les 23 et 24 novembre 2021.
Abir Ghattas, directrice adjointe chargée de la sécurité de l’information à Human Rights Watch, a confirmé la légitimité des notifications Apple, puis procédé à une analyse criminalistique numérique de l’iPhone actuel de Lama Fakih, ainsi que de son iPhone précédent, qui lui était associé via un même AppleID, afin d’établir si les appareils avaient été infectés. Les analyses de Human Rights Watch ont indiqué que deux appareils (un iPhone 12 et un iPhone XS) étaient infectés par le logiciel espion Pegasus de NSO Group.
L’examen de l’historique a révélé dans les deux appareils des traces de processus que les recherches du Security Lab d’Amnesty International avaient auparavant permis de relier à Pegasus de NSO.
Human Rights Watch a transmis les données de l’analyse criminalistique au Security Lab d’Amnesty International, qui a effectué une évaluation entre pairs et confirmé les conclusions de façon indépendante. (Voir les résultats techniques plus loin.)
World Opinions – Human Rights Watch
