Fil d'Ariane
Découvrir que toutes vos activités sont espionnées en permanence par des agents de l'État peut déstabiliser n'importe quel citoyen, surtout ceux qui risquent la prison de par leur activité de journaliste. Et c'est bien ce qui est arrivé à Omar Radi, qui a subi cette intrusion dans sa vie privée durant plusieurs mois, selon l'enquête d'Amnesty International. L'ONG affirme que tous les échanges vocaux, messages texte, navigation internet, mails, du journaliste ont été surveillés par l'Etat marocain, en direct et sans qu'il le sache. Grâce à un logiciel malveillant israélien.
Les éléments mis au jour par Amnesty International indiquent que le gouvernement marocain est resté un client actif de l’entreprise et qu’il a pu continuer d’utiliser la technologie de celle-ci pour suivre, intimider et réduire au silence des militant(e)s, des journalistes et ses détracteurs.Extrait du rapport d'enquête d'Amnesty international du 22 juin 2020
Le service "Amnesty Tech" qui a effectué l'analyse de l'Iphone du journaliste marocain est formel : le logiciel espion de type cheval de Troie nommé "Pegasus", vendu par l'entreprise israélienne NSO Group, y a été installé en 2019 et a permis de surveiller les moindres faits et gestes d'Omar Radi pendant des mois.
Pegasus : un cheval de Troie très performant
Pegasus est un "malware" de type cheval de Troie, c'est-à-dire un virus logiciel s'installant à l'insu de l'utilisateur et permettant une prise en main, l'accès à distance de toutes les fonctions (micro, appareil photo, applications) des appareils "infectés". Pour permettre l'installation du virus, un lien par SMS ou par mail vers un site internet est envoyé à l'utilisateur. Si le lien est activé, il mène à un serveur de NSO Group (aux apparences de site commercial ou institutionnel) qui injecte alors le virus dans l'Iphone et exploite des failles informatiques permettant son contrôle et sa surveillance, de façon invisible.
Omar Radi a été condamné le 17 mars 2020 à une peine de quatre mois d’emprisonnement avec sursis en raison d’un tweet publié en avril 2019 où il critiquait l’iniquité du procès d’un groupe de militants. Face aux accusations d'Amnesty, une source autorisée dans la communauté du renseignement marocain a démenti catégoriquement sur le site d'information en ligne Le 360, tout lien entre le Maroc et NSO Group : "Les services marocains n’ont aucune relation avec la société israélienne NSO et le Maroc ne dispose pas du logiciel Pegasus. Tout ce qui a été avancé dans ce sens par Amnesty International est erroné et sans fondement".
Le journaliste saoudien Jamal Khashoggi, assassiné et démembré dans l'ambassade de Turquie en 2018 était vraisemblablement surveillé par les services secrets saoudiens grâce au logiciel Pegasus, selon le New York Times et Amnesty international. Le gouvernement israélien a d'ailleurs refusé à l'époque de révoquer la licence d'exportation du logiciel espion de NSO Group sur la demande de l'ONG. Selon la presse israélienne, l'Arabie saoudite avait acheté en 2017, 55 millions de dollars de licences pour l'usage de l'arme numérique développée par NSO. Le terme "d'arme numérique" n'est pas anodin. Tout logiciel pouvant être utilisé à la fois à des fins civiles mais aussi militaires est considéré comme une "technologie duale". Ces deux utilisations possibles obligent les entreprises qui les vendent à obtenir l'approbation du ministère de la Défense ou Premier ministre pour sa vente à des gouvernements étrangers. En Israël, comme en France…
L’intimidation de journalistes et de militant(e)s au moyen d’une surveillance numérique invasive constitue une violation de leurs droits au respect de la vie privée et à la liberté d’expression.Danna Ingleton, directrice adjointe d’Amnesty Tech
Déjà mis en cause pour l'utilisation de son logiciel ayant permis de réprimer des opposants politiques, des journalistes ou des activistes, NSO a affirmé à Amnesty international ne "vendre son logiciel espion qu’aux services de renseignement et organes chargés de l’application des lois des États." Or, les éléments mis au jour par Amnesty International indiquent que "le gouvernement marocain est resté un client actif de l’entreprise et qu’il a pu continuer d’utiliser la technologie de celle-ci pour suivre, intimider et réduire au silence des militant(e)s, des journalistes et ses détracteurs."
Le scandale français de la vente de systèmes de surveillance au régime de Mouammar Kadhafi par l'entreprise Amesys, dévoilé en 2011, avait été le premier à soulever la question de la vente des technologies duales à des États. Malgré un procès — toujours en cours — des questions au Parlement, de nombreux autres scandales et plaintes pour des surveillances permettant des répressions étatiques, rien n'a visiblement changé dans le commerce international de ces technologies. Que ce soit en France ou dans les autres pays vendeurs de ces solutions d'espionnage et de surveillance des populations.
> A lire : "Surveillance numérique : information judiciaire contre Nexa Technologies pour participation aux répressions en Egypte"
> "Surveillance numérique : les questions gênantes du piratage d'Hacking Team"
Amnesty international explique que sa campagne pour dénoncer les ventes de NSO Group à des pays réprimant la liberté d'expression a malgré tout porté ses fruits — au moins en termes de communication — puisque l'entreprise a déclaré sa volonté de ne plus vendre son logiciel à des gouvernements pouvant l'utiliser contre des journalistes ou des militants politiques. Mais cette communication de NSO Group n'a pas été suivie d'effets concrets, comme l'ONG le dénonce : "Pourquoi notamment [NSO Group] n’a-t-elle pas résilié son contrat avec les autorités marocaines ? L’intimidation de journalistes, de militants et militantes au moyen d’une surveillance numérique invasive constitue une violation de leurs droits au respect de la vie privée et à la liberté d’expression", explique Danna Ingleton, la directrice adjointe d’Amnesty Tech.
On est pratiquement capable de porter atteinte directement à la vie des gens avec ces outils numériques !
Olivier Iteanu, avocat spécialiste en technologies de l'information et droit Internet
L'ONG rappelle que "le logiciel Pegasus a notamment servi à mener des attaques contre des journalistes et des députés au Mexique, contre les militants saoudiens Omar Abdulaziz, Yahya Assiri et Ghanem Al Masarir, contre le défenseur des droits humains primé Ahmed Mansoor, des Émirats arabes unis, et contre un membre d’Amnesty International."
Amnesty international — aidée de 30 autres organisations—, a donc intenté en janvier dernier une action en justice contre le ministère de la Défense israélien. Le but est d'empêcher NSO Group de continuer à vendre ses logiciels à des États répressifs, comme l'a expliqué la directrice adjointe d’Amnesty Tech : "Le meilleur moyen d’empêcher les puissants logiciels espions de NSO de tomber entre les mains de gouvernements répressifs est de retirer à l’entreprise sa licence d’exportation, et c’est exactement ce qui est demandé dans le cadre de cette affaire." Parmi les plaignants l’Institut Bernstein pour les droits humains (un centre de recherche qui promeut l'érudition, l'éducation et la défense des droits de l'homme aux États-Unis et à l'étranger, ndlr) dont sa directrice exécutive, Sukti Dhitala a résumé les griefs à l'encontre du ministère israélien de la Défense : "En autorisant les exportations de NSO – une entreprise vendant ses logiciels espions intrusifs à des États réputés pour bafouer les droits humains –, le ministère de la Défense n’a pas respecté les obligations juridiques qui lui incombent au regard des droits humains, à savoir la protection des droits à la vie privée, à la liberté d’expression et à la liberté d’opinion". Ce 13 juillet 2020, la justice israélienne a rejeté la demande des ONG d'interdire l'exportation par NSO de son logiciel d'espionnage à des États.
Pour mieux comprendre les enjeux de la vente des technologies duales par des entreprises à des États, nous avons interrogé maître Olivier Iteanu, avocat spécialisé dans le droit numérique et pionnier du droit de l'Internet
TV5MONDE : Où en est-on au niveau du droit international sur la vente d’armes numériques à des États en 2020 ?
Olivier Itéanu : On n'a pas beaucoup avancé, c'est toujours État par État que le droit sur ces ventes s'applique. Il y une sorte d’obstruction sur ce sujet, particulièrement par les États-Unis. Dans le cadre de l’administration Trump, il y a un blocage certain. Mais les technologies duales numériques est un sujet qu’on refuse quasiment d’aborder dans les discussions internationales. Quand ça survient, on sait de toute façon que rien n’avancera. Donc, chaque État fait ce qu’il veut, selon son état de droit. Ce sujet est pourtant important, il devient un sujet d’ampleur, on le voit avec Omar Radi.
Aujourd’hui la surveillance est tellement intrusive — parce que nous sommes devenus des humains augmentés avec tous les dispositifs numériques que nous utilisons quotidiennement — que l’on est pratiquement capable de porter atteinte directement à la vie des gens avec ces outils ! Il serait donc temps que les États prennent en main cette affaire des technologies duales.
TV5MONDE : Des pays qui limitent la liberté d'expression — comme le Maroc —, achètent des solutions de surveillance numérique et d’espionnage. Ces technologies sont vendues par des entreprises de pays censés être des exemples démocratiques, comme Israël ou la France : n’y a t-il pas là un paradoxe ?
O.I : Absolument, mais ce qu’on attend, c’est une jurisprudence. C’est-à-dire que les juges statuent là-dessus. Parce que, ce que savent ces États démocratiques, c’est que bien souvent, comme dans le cas de Radi, ces équipements ou logiciels vont être un moyen de commettre une infraction basique qui est celle de l’accès frauduleux à un système.
Il va bien falloir soulever le problème parce que ces technologies servent à des choses qui vont totalement à l’encontre de nos valeurs
A partir du moment où l’on sait que ces types de dispositifs vont servir à ça et qu’on les laisse se vendre en toute conscience, il y a un mécanisme qui est quasi universel, c'est celui de la complicité. Il y a l’auteur de l’infraction… et celui qui fournit les moyens de la faire, en sachant qu’elle va être faite.
TV5MONDE : Mais ces ventes d'armes duales numériques sont protégées par le secret-défense en France, comment alors caractériser l’infraction ?
O.I : Mais c’est tout le problème et il va bien falloir le soulever parce que ces technologies servent à des choses qui vont totalement à l’encontre de nos valeurs. Contester les ventes d’armes conventionnelles par la France est bien plus difficile, parce qu’il y a des enjeux économiques, en termes d’emplois, notamment, très importants. Sur les technologies duales, c’est nettement moins le cas, c’est à une échelle bien plus petite. Mais il y a des conflits d’intérêts très importants, avec des amitiés, des renvois d’ascenseur mélées à des équations économiques.
À un moment, cette question de la vente de technologies duales de surveillance ne pourra plus être mise de côté.
On est en réalité au centre de nombreux conflits avec ces technologies duales : des conflits de droit, d’intérêts, de valeurs. Donc nous ne sommes pas cohérents là-dessus, c'est certain. Ce qui veut dire aussi que ça ne peut pas tenir, qu'à un moment ou un autre cela changera. J'ai la conviction profonde que quand on a une situation anormale, il y a un moment où elle implose et elle est obligée de se mettre sur la voie de la conformité. Au fur et à mesure que toutes les sociétés de tous les pays, de tous les continents et leur entière population, basculent sur les réseaux numériques, cette question de la vente de technologies duales de surveillance ne pourra plus être mise de côté.
TV5MONDE : La France, est plutôt en pointe sur ces technologies et des gouvernements successifs ont installé des systèmes de surveillance en modifiant la loi. Qu’en est-il de l’espionnage ciblé avec des virus logiciels comme Pegasus ? Est-ce légal pour l’Etat français d’en acheter, de les utiliser ?
O.I : Il y a des cas d’espionnage qui sont admis, sous contrôle judiciaire. Ce qu’on appelait avant des "écoutes" et qui sont désormais appelées des "interceptions". Et oui, il y a des cas — sous contrôle d’un juge et si c’est proportionné — où il est légal pour les services français d’installer des outils de surveillance sur des smartphones de personnes déclarées suspectes. Il y a aussi des cas où désormais on se passe du juge avec la nouvelle Commission nationale de contrôle des techniques de renseignement. C’est alors une interception administrative avec ce fameux secret-défense. Mais il y a quand même un contrôle administratif qui n’est pas très efficient, mais qui existe. C’est une commission indépendante que chaque citoyen peut interroger pour savoir s’il est sous le coup d'une surveillance. Dans le cas où c’est positif, il y a des recours administratifs. Malheureusement, en général, la réponse met très longtemps à arriver.
• En complément : interview d'Olivier Iteanu à propos de son ouvrage : "Quand le digital défie l'Etat de droit".