ISS WORLD : le secteur de la surveillance se retrouve à Prague
Poursuites judiciaires de Facebook et d’Apple pour avoir espionné leurs utilisateurs, sanctions commerciales du gouvernement américain pour avoir enquêté sur des journalistes et des activistes : qualifier l’image de la société israélienne NSO Group de « ternie » serait un grand euphémisme. Apple a qualifié les employés de l’entreprise de « mercenaires amoraux » dans sa plainte. Malgré cela, l’entreprise apparaît actuellement comme le sponsor principal de l’un des plus grands salons de la surveillance au monde. Outre NSO, la liste des sponsors et des invités comprend d’autres fournisseurs de technologies de surveillance électronique qui ont déjà fait la une des journaux pour avoir enfreint la loi.
Le salon (en anglais) a lieu du 7 au 9 décembre à Prague. L’organisateur TeleStrategies le décrit comme « le plus grand rassemblement mondial d’analystes régionaux de l’application des lois, du renseignement et de la sécurité intérieure, des télécommunications et de la criminalité financière, chargés d’enquêter sur la cybercriminalité, la surveillance électronique et la collecte d’informations ».
Sont prévus (en anglais) des présentations et workshops d’experts en sécurité, de personnes chargées de l’application des lois et de fabricants de technologies de surveillance. De nombreux exposés sont uniquement ouverts aux agents en charge de l’application des lois et aux administrations et servent à familiariser ces agents avec les services des 120 exposants. Parmi les principaux thèmes, on trouve : « Écoutes légitimes », « Surveillance des réseaux sociaux » et « Enquête sur le DarkWeb, le Bitcoin, l’Altcoin et les transactions de la blockchain ».
Ensemble contre les droits humains
Le sponsor principal, NSO, n’est pas le seul à rendre cette rencontre explosive. Parmi les autres sponsors également (en anglais), on trouve des entreprises controversées comme FinFisher, Candiru et Voyager Labs. Outre le fait qu’il s’agisse de grands noms du secteur, elles ont en commun d’être accusées de violer les droits fondamentaux et les droits humains ou d’enfreindre les lois sur l’exportation.
Dans les listes de clients des entreprises, on trouve des régimes autoritaires comme l’Arabie saoudite et la Thaïlande, mais aussi des États de l’UE comme l’Allemagne. Les services secrets et les autorités de sécurité du monde entier utilisent les produits non seulement à des fins d’application de la loi, mais aussi pour surveiller les journalistes, les opposants, les hommes et femmes politiques et les activistes.
Le NSO Group
Le NSO Group est actuellement sous les feux des projecteurs, plus que toute autre entreprise du secteur. Son logiciel Pegasus a été notamment utilisé afin de surveiller secrètement des journalistes et activistes de Hongrie (en allemand), du Bahreïn (en allemand), du Mexique (en allemand) et de nombreux autres pays. Sur une liste publiée en juillet de 50 000 cibles potentielles d’espionnage pour Pegasus se trouvaient, en plus de nombreux opposants et journalistes des hommes et femmes politiques de haut rang, et même des chefs d’État du monde entier. Comme cela a été signalé la week-end dernier, des employés du ministère américain des Affaires étrangères ont également été espionnés..
Sur le site web d’ISS World, le profil de l’entreprise semble nettement plus inoffensif : NSO proposerait un « portefeuille d’outils opérationnels et analytiques de haute qualité » pour « la détection et la prévention du crime et du terrorisme ainsi que pour la préservation de la sécurité nationale ». Lors du salon, NSO donne un séminaire intitulé « Une nouvelle ère : les attaques stratégiques par drones ». Avec « Eclipse », NSO propose un système de défense contre les drones qui est censé pouvoir localiser les drones étrangers et en prendre le contrôle.
Le gouvernement américain a entre-temps tiré les conséquences de ces révélations et a inscrit NSO sur sa liste de sanctions. La raison invoquée est que les activités de NSO vont à l’encontre « des intérêts de sécurité nationale ou de politique étrangère des États-Unis ». Sans autorisation spéciale, il est donc interdit aux entreprises américaines de vendre certaines technologies à NSO.
En revanche, l’Office fédéral allemand de police criminelle (BKA) est toujours client de NSO (en allemand) et a acheté à l’automne 2020 une version modifiée de Pegasus. D’après ses propres indications, le BKA s’était mis d’accord sur l’achat du logiciel d’espionnage avec l’Office fédéral allemand pour la sécurité en matière de technologies de l’information (BSI).
Un autre sponsor : Candiru
Tout comme NSO, l’entreprise israélienne Candiru a atterri également sur la liste de sanctions des États-Unis (en allemand) ; elle était également sponsor d’ISS World. Cette entreprise propose d’après sa description sur le site du salon « des technologies de pointe pour le cyber-renseignement » et avance comme argument de vente : « Notre gamme de produits permet l’extraction stratégique d’éléments de données précieux à partir d’appareils cibles sur tous les principaux systèmes d’exploitation. » L’entreprise tire son nom d’un poisson parasite buveur de sang.
Candiru propose des logiciels espions pour tous les systèmes d’exploitation (mobiles) courants. En 2020, le journal israélien Haaretz a effectué un reportage se basant sur des documents internes de l’entreprise qui donnent plus d’information sur ses produits : des programmes comme « Sherlock » peuvent infiltrer des PC et des téléphones Android à leur insu et en extraire des données. Il serait notamment possible d’accéder au microphone et à la caméra. Le logiciel serait également capable d’extraire des informations des comptes de médias sociaux et des applications.
Des chercheurs du Citizen Labs à l’université de Toronto ont trouvé les programmes de Candiru sur plus de 750 faux sites internet (en anglais). Ils imitaient les sites Internet d’organisations non gouvernementales comme Amnesty International ou Black Lives Matter. Les faux sites imitaient les sites Internet d’organisations de défense des droits des femmes, de groupes d’activistes, d’organisations de santé et de médias d’information et portaient des noms trompeurs tels que « Amnesty Reports », « Refugee International », « Woman Studies », « Euro News » et « CNN 24-7 ». Lors de l’ouverture de ces sites, les systèmes des utilisateurs étaient infectés par le logiciel espion de Candiru.
Le Guardian écrivait (en anglais) autrefois à ce sujet : « Les résultats suggèrent qu’une entreprise mystérieuse et peu connue, avec une large portée mondiale, pourrait aider les gouvernements à pirater et à surveiller les personnes de la société civile. »
Candiru vend uniquement ses produits à des clients étatiques parmi lesquels compteraient des administrations en Ouzbékistan, les Émirats arabes unis et l’Arabie saoudite. Le logiciel Candiru a été utilisé pour attaquer des personnes en Israël, en Espagne, en Angleterre, en Iran et dans d’autres pays, comme a pu le prouver Microsoft à l’occasion d’une analyse commune avec le Citizen Lab (en anglais). Parmi les plus de 100 victimes que Microsoft a pu identifier se trouvaient des défenseurs des droits humains, des dissidents, des journalistes, des personnalités politiques et des employés d’ambassades.
Lors du salon, Candiru donne un séminaire intitulé « Attaques à zéro clic : Le Saint Graal ».
Faux comptes Facebook et surveillance de masse
D’autres entreprises connues sur la liste des sponsors sont Voyager Labs, FinFisher et Trovicor:
Voyager Labs avait atteint une renommée douteuse en novembre car des documents internes de la police de Los Angeles (LAPD) attestaient une collaboration avec l’entreprise. Le logiciel Voyager Labs, testé par cette autorité, peut surveiller les comptes de réseaux sociaux à l’insu des personnes concernées et veut même pouvoir prédire quelles personnes pourraient commettre un délit à l’avenir.
Le programme n’examine pas seulement les suspects, mais aussi leurs contacts. Ainsi, de nombreuses personnes non concernées se retrouvent ciblées et sont par conséquent espionnées.
Selon le rapport du Brennan Center for Justice, le programme d’espionnage réagit particulièrement à des thèmes religieux ou musulmans – en fait ordinaires – et les évalue globalement comme un indicateur de propension à la violence. Les experts qui ont participé à l’analyse des documents ont mis en doute la fiabilité du programme et ont suggéré une discrimination et un préjugé défavorable à l’égard de certains groupes.
Le fait que le programme de surveillance crée également de faux comptes Facebook à cet effet a irrité la maison mère de Facebook, Meta. Celle-ci s’est adressée après les révélations dans une lettre ouverte au chef de la LAPD Michel Moore et a demandé à l’administration de stopper toutes les activités sur Facebook qui impliquent l’utilisation de faux comptes, l’imitation de personnes et la collecte de données à des fins de surveillance.
FinSpy, un succès à l’exportation
Selon la description de l’entreprise, FinFisher aide « les autorités de poursuite pénale de l’État et les services de renseignement à identifier, localiser et confondre les grands criminels ». Le logiciel d’espionnage « FinSpy » permet par exemple de lire les carnets d’adresses des smartphones, mais aussi d’enregistrer les conversations téléphoniques et les chats. L’entreprise produit également le « cheval de Troie d’État »pour l’Office fédéral allemand de la police criminelle. Depuis 2015, les exportations de logiciels de surveillance vers des pays hors de l’Union européenne sont toutefois soumises à une autorisation, comme pour les exportations d’armes. Or, par le passé, le logiciel a été retrouvé à plusieurs reprises dans des pays hors de l’UE. Ainsi, la logiciel FinSpy 2017 a été utilisé (en allemand) contre des dissidents turcs. C’est ce qu’avaient constaté des experts en sécurité à l’occasion d’analyses du logiciel (en allemand).
Des organisations telles que la Société pour les droits de la liberté, Reporters sans frontières et le European Center for Constitutional and Human Rights ont alors porté plainte contre les directeurs en 2019. Depuis lors, le parquet de Munich I et la police criminelle douanière allemande enquêtent sur l’entreprise munichoise et ont perquisitionné ses bureaux en octobre 2020.
L’entreprise avait déjà fait les gros titres car son logiciel avait été utilisé contre des dissidents par des régimes autoritaires, notamment en Égypte sous la présidence d’Hosni Moubarak, ainsi qu’au Bahreïn.
« Ennemi d’Internet »
Pour l’entreprise munichoise Trovicor, spécialisée dans la surveillance des télécommunications, la presse négative n’est pas non plus une nouveauté : par le passé, Trovicor a notamment été accusée d’entretenir des centres de surveillance au Bahreïn, avec lesquels les communications en ligne sont surveillées et censurées. En 2013, l’organisation Reporters sans frontières a déclaré que l’entreprise était un « ennemi d’Internet ». En 2015, Privacy International a accusé Trovicor d’avoir aidé le gouvernement pakistanais à mettre en place des infrastructures de surveillance.
Sa couverture médiatique a trouvé son apogée en 2015 lorsqu’il a été révélé que l’entreprise munichoise avait joué un rôle important dans le développement de la surveillance étatique d’Internet en Éthiopie.
Au salon ISS World, Trovicor présente notamment le séminaire « Analyse avancée de l’activité de masse sur Internet ». La société se vante d’avoir « plus de 20 ans d’expérience dans la collaboration avec les gouvernements du monde entier » et de fournir « des solutions de surveillance et de renseignement de bout en bout à plus de 35 gouvernements dans le monde entier ».
Les États démocratiques doivent réagir
La liste des sponsors et participants d’ISS Word Europe controversés sur le plan juridique et éthique pourrait encore s’allonger. Pour les personnes extérieures, il n’est pas évident de savoir quels sont les clients (potentiels) que ces entreprises rencontrent. La seule chose qui est claire, c’est qu’il s’agit en grande partie de représentants des services de sécurité et de renseignement de l’État.
Pendant ce temps, la pression sur les gouvernements démocratiques pour qu’ils interviennent contre des entreprises comme NSO, Candiru & Cie s’intensifie : en tout, 81 organisations, dont Access Now, Amnesty International, Human Rights Watch et Reporters sans frontières ainsi que des experts indépendants ont, la semaine dernière, appelé l’UE dans une lettre ouverte (en anglais) à sanctionner NSO. L’UE devrait interdire l’utilisation et le commerce des technologies de NSO jusqu’à ce qu’une protection efficace des droits humains soit garantie. Une réaction est toujours attendue. (hcz)