Amnesty enquête sur des exportations de logiciels espions vers l’Indonésie
L’organisation de défense des droits de l’homme Amnesty International a publié un rapport sur le commerce international des technologies de surveillance au début du mois de mai. Prenant l’exemple de l’Indonésie, l’enquête montre comment des fournisseurs de technologies de surveillance numérique de différents pays utilisent des réseaux d’entreprise complexes pour tromper les autorités de réglementation et déjouer les restrictions à l’exportation. Selon le rapport, le manque de transparence rend difficile l’application efficace des mécanismes de régulation, quand il en existe.
Pour l’enquête, Amnesty a travaillé avec les médias d’information Haaretz, Inside Story, Tempo, WAV Research collective et Woz et a passé plusieurs mois à faire des recherches dans des documents commerciaux et des annuaires publics. L’équipe a trouvé des preuves de l’utilisation et de la vente de logiciels espions invasifs et d’autres technologies de surveillance à des entreprises et à des autorités indonésiennes, entre 2017 et 2023. Au cours des dernières années, des défenseurs des droits humains, des journalistes et des activistes y ont été victimes d’attaques, tant numériques que physiques.
Selon les recherches, quelques-uns des principaux distributeurs mondiaux de technologie de surveillance numérique sont impliqués dans les livraisons en Indonésie. Les produits ont été fournis par Q Cyber technologies (NSO Group), le consortium Intellexa, Saito Tech (Candiru) et Raedarius M8 Sdn Bhd, ainsi que Wintego Systems (tous deux FinFisher). Parmi les acheteurs figuraient la police nationale indonésienne et l’autorité de sécurité informatique « National Cyber and Crypto Agency ».
Selon Amnesty International, l’enquête illustre également de manière exemplaire l’incapacité persistante de plusieurs pays à réglementer l’exportation des technologies à double usage, appelées biens à double usage, et à assurer la transparence. Ces produits peuvent être utilisés aussi bien à des fins civiles que militaires. Selon Amnesty International, ils représentent un risque sérieux pour les droits humains.
Les programmes de surveillance importés permettent aux attaquants un accès illimité à un appareil. Sur les smartphones par exemple, il est possible d’allumer les caméras ou d’écouter le microphone. Les propriétaires des appareils ne remarquent généralement rien de l’installation du logiciel et peuvent difficilement savoir rétrospectivement quelles données ont été dérobées.
Répression en Indonésie
Amnesty juge particulièrement préoccupante la vente de technologies de surveillance à l’Indonésie et renvoie à un rapport de 2022 dans lequel l’organisation a déjà documenté de nombreuses violations des droits de l’homme en Indonésie. Amnesty y avait signalé que les atteintes à la liberté d’expression, au droit de réunion et au droit à la sécurité et à la liberté de la personne avaient augmenté ces dernières années. L’organisation y rapporte que les autorités chargées de la sécurité et l’armée ont à maintes reprises usé de violence à l’encontre de manifestantes et de dissidents, et que les droits ont été restreints.
« Les défenseurs des droits humains et les militants ont subi à plusieurs reprises des répressions en ligne en Indonésie. La loi sur l’information et les transactions électroniques et d’autres lois restrictives ont été utilisées pour poursuivre et intimider des défenseurs des droits de l’homme, des militants, des journalistes, des universitaires et d’autres personnes. Le commerce opaque de logiciels espions vers l’Indonésie est un autre outil dangereux d’intimidation potentielle. Cela ne doit pas continuer ainsi », a déclaré Carolina Rocha da Silva, directrice des opérations au laboratoire de sécurité d’Amnesty International.
Réseaux opaques
Les livraisons à l’Indonésie provenaient d’Israël, de Singapour et de Malaisie, sachant que seuls quelques-uns des fournisseurs réels y sont implantés. Il existe un « réseau opaque de fournisseurs, de courtiers et de revendeurs au niveau local et international ». Il est donc extrêmement difficile de déterminer où les technologies invasives sont vendues et de vérifier si les fournisseurs respectent les lois sur les licences d’exportation ou s’ils se sont acquittés de leurs obligations de diligence raisonnable en matière de droits de l’homme.
À Singapour par exemple, les importations auraient été effectuées par des intermédiaires qui avaient déjà fourni auparavant des technologies de surveillance et des logiciels espions à des services gouvernementaux indonésiens. Les véritables propriétaires de ces sociétés de courtage étaient souvent impossibles à identifier, rapporte Amnesty International. « Ce genre de dissimulation du propriétaire effectif rend presque impossible la vérification de l’ensemble de la chaîne d’approvisionnement des biens à double usage […]. »
Il n’y a cependant aucun doute sur l’identité des entreprises ayant développé les programmes espions exportés : Q Cyber technologies, par exemple, appartient à la société israélienne NSO Group. Celle-ci a été placée sur la liste des sanctions américaines à la fin de 2021, car des militants, des professionnels des médias et des membres de l’opposition ont été surveillés dans le monde entier à l’aide de son logiciel Pegasus.
Le fabricant Intellexa et ses filiales figurent sur la liste des sanctions américaines depuis la mi-2023 car ses activités menacent la vie privée et la sécurité des individus et des organisations dans le monde entier. Entre autres, des professionnels des médias et des politiciens en Grèce ont été espionnés avec l’aide du logiciel de surveillance Predator.
Saito Tech est également connu sous le nom de Candiru, qui figure également sur la liste des sanctions américaines. À la mi-2021, des chercheurs du Citizen Lab de l’Université de Toronto ont trouvé les programmes de Candiru sur plus de 750 sites Web falsifiés imitant des sites d’organisations non gouvernementales telles qu’Amnesty International ou Black Lives Matter.
Raedarius M8 Sdn Bhd et Wintego Systems sont des filiales du fournisseur de logiciels de surveillance FinFisher (aujourd’hui : Vilicius Holding GmbH). Ses programmes ont été utilisés ces dernières années contre des opposants turcs, égyptiens et bahreïniens.
En plus des livraisons, l’équipe de recherche a également identifié des infrastructures de réseau et des sites Internet frauduleux. Ceux-ci auraient imité des portails de médias d’information ou de partis d’opposition. Lorsque des personnes cibles visitaient les pages sur leurs appareils et interagissait avec le site, le logiciel malveillant Predator de Candiru et Intellexa était installé.
Exigences d’Amnesty
Afin de prévenir l’impunité et de promouvoir la prévention, Amnesty appelle les gouvernements à mieux surveiller le marché et à faire respecter les règles (d’exportation) existantes. Les sanctions devraient être suffisamment élevées pour avoir un effet dissuasif. Il faudrait combiner technologie, ressources et coopération internationale pour surveiller et réglementer efficacement les exportations.
Amnesty International appelle également tous les pays à interdire la vente, la distribution, l’exportation et l’utilisation de logiciels espions invasifs incompatibles avec les droits de l’homme. Jusqu’à ce qu’un cadre juridique protégeant les droits de l’homme soit mis en place, les États devraient imposer un moratoire et cesser la vente et l’utilisation de technologies de surveillance. Les licences d’exportation des entreprises concernées devraient être réexaminées.
Amnesty appelle les fournisseurs de technologies de surveillance à mettre fin au développement, à la vente et à l’exportation de produits dangereux tant qu’ils ne comportent pas de mesures techniques pour garantir une utilisation légitime dans le cadre des droits humains. Toutes les activités qui conduisent à des violations des droits de l’homme devraient cesser. « Cela inclut l’arrêt immédiat de l’utilisation, du soutien et de la vente de leurs technologies dans des États où les autorités gouvernementales ont historiquement attaqué des membres de la société civile numériquement et/ou physiquement ou où il n’existe pas de protection juridique adéquate contre les abus », a déclaré Amnesty International.
Les sociétés de surveillance devraient également indemniser les personnes qui ont été victimes d’une surveillance illégale par les technologies de ces sociétés. (hcz)