Grâce à des renseignements issus de sources ouvertes, dont des bases de données commerciales et des cartographies de l’infrastructure de logiciels espions, le Security Lab a découvert des éléments faisant état de la vente et du déploiement de logiciels espions hautement intrusifs et d’autres technologies de surveillance auprès d’entreprises et d’organismes publics en Indonésie entre 2017 et 2023.
Parmi ces entités figurent la police nationale indonésienne (Kepolisian Negara Republik Indonesia) et l’Agence nationale d’informatique et de chiffrement (Badan Siber dan Sandi Negara).
« La vente et le transfert de logiciels espions hautement intrusifs et d’autres technologies de surveillance en Indonésie demeure un fait préoccupant du point de vue des droits humains. Le commerce secret de logiciels espions se poursuit, alors que les droits à la liberté d’expression, de réunion pacifique et d’association sont déjà mis à mal dans le pays », a déclaré Jurre van Bergen, spécialiste des technologies à Amnesty International.
Un écosystème obscur de fournisseurs
La vente et le transfert de ces logiciels espions et autres technologies de surveillance reposent sur un écosystème obscur de fournisseurs, d’intermédiaires et de revendeurs, qui s’inscrivent dans des structures de propriété complexes.
Parmi les fournisseurs identifiés, citons l’entreprise Cyber Technologies SARL (liée à NSO Group), sise au Luxembourg, le consortium Intellexa, les sociétés Wintego Systems Ltd et Saito Tech (également connue sous le nom de Candiru), basées en Israël, et l’entreprise de droit malaisien Raedarius M8 Sdn Bhd (en rapport avec FinFisher). L’enquête a également permis d’identifier des intermédiaires et des revendeurs à Singapour et en Indonésie.
Ces réseaux d’entreprises qui se caractérisent, délibérément ou non, par leur manque de transparence et leurs contours flous, peuvent masquer la nature des exportations de produits de surveillance, compliquant tout contrôle indépendant de la part des autorités judiciaires, des législateurs et des organisations de la société civile, aux niveaux national et international. Du fait de ce caractère obscur et de l’absence systémique d’informations sur les transferts de matériel de surveillance à double usage (technologie ou bien pouvant servir à des fins tant civiles que militaires), y compris sur les fournisseurs et les utilisateurs finaux et sur les demandes de licence d’exportation déposées, acceptées ou rejetées, il est difficile d’appliquer efficacement les mécanismes de réglementation, quand ils existent.
Le Security Lab a également identifié des noms de domaine malveillants et des infrastructures en réseau liées à de multiples plateformes avancées de logiciels espions, manifestement destinées à cibler des personnes en Indonésie. Les noms de domaine malveillants liés à Candiru et au logiciel espion Predator d’Intellexa sont calqués sur ceux des principaux médias nationaux et régionaux, des partis politiques d’opposition et des entités recueillant des informations sur les droits humains. Ces sites d’attaque sont généralement choisis par les opérateurs de logiciels espions pour amener leurs cibles à cliquer, ce qui expose l’appareil concerné à un risque d’infection.
Bien qu’Amnesty International ait découvert de nouveaux éléments de preuve importants concernant les systèmes de surveillance fournis à l’Indonésie, cette étude n’a pas donné lieu à une analyse criminalistique ni à une tentative d’identification précise des personnes susceptibles d’avoir été ciblées à l’aide de ces outils de surveillance.
Le Security Lab d’Amnesty International a sollicité des observations et des éclaircissements sur les résultats de l’enquête auprès des 21 entités qui y sont mentionnées.
Les logiciels espions hautement intrusifs sont conçus pour laisser aussi peu de traces que possible, d’où la difficulté immense de détecter les cas d’utilisation abusive et illégale de ces outils. En revanche, l’étude est axée sur la vente et le transfert de plusieurs logiciels espions hautement intrusifs.
Le Security Lab d’Amnesty International a sollicité des observations et des éclaircissements sur les résultats de l’enquête auprès des 21 entités qui y sont mentionnées.
Amnesty International a reçu des réponses données par Candiru (Saito Tech dans l’étude) et NSO Group (au nom de Circles et Q Cyber Technologies SARL), ainsi que par les organismes d’exportation que sont le Secrétariat d’État suisse à l’économie (SECO) et l’Agence israélienne de contrôle des exportations dans le secteur de la défense (DECA), qui figurent dans le rapport du Security Lab intitulé A web of surveillance : Unravelling a murky network of spyware and surveillance exports to Indonesia. Candiru a répondu pour expliquer que l’entreprise opère dans le cadre de la Loi sur le contrôle des exportations 5766-2007 de l’Agence israélienne de contrôle des exportations dans le secteur de la défense (DECA). Le NSO Group a répondu pour expliquer qu’il était étroitement réglementé par les autorités de contrôle des exportations des pays depuis lesquels l’entreprise exporte des produits.
Répercussions du commerce de logiciels espions sur les droits humains
« Les défenseur·e·s des droits humains et les militant·e·s subissent une répression fréquente sur Internet en Indonésie. »
L’utilisation abusive des technologies de surveillance et le recours à des technologies incompatibles avec les droits humains, comme les logiciels espions hautement intrusifs, ne sont que quelques-uns des moyens employés dans le monde entier pour réduire l’espace civique. Le nombre de ventes et de déploiements de logiciels espions hautement intrusifs qui ont été recensés en Indonésie est particulièrement préoccupant, puisqu’il témoigne de l’attaque que subissent actuellement dans ce pays les droits à la liberté d’expression, de réunion pacifique et d’association, le droit à la sécurité personnelle et le droit de ne pas faire l’objet d’une détention arbitraire.
« Les défenseur·e·s des droits humains et les militant·e·s subissent une répression fréquente sur Internet en Indonésie. La Loi relative aux informations et transactions électroniques et d’autres lois contenant des dispositions restrictives sont utilisées pour poursuivre et intimider des défenseur·e·s des droits humains, des militant·e·s, des journalistes, des universitaires et d’autres personnes. Le commerce obscur de logiciels espions en Indonésie met à disposition un nouvel outil d’intimidation. Nous ne pouvons pas laisser cela se poursuivre », a déclaré Carolina Rocha da Silva, responsable des opérations au Security Lab d’Amnesty International.
Bien que l’Indonésie ait ratifié le Pacte international relatif aux droits civils et politiques (PIDCP) et reconnaisse les droits à la liberté d’expression, de réunion pacifique et d’association, le droit à la sécurité personnelle et le droit de ne pas faire l’objet d’une détention arbitraire, elle ne s’est pas dotée de lois qui encadrent spécifiquement l’utilisation des logiciels espions et autres technologies de surveillance.
Le rapport d’Amnesty International intitulé Dans les mailles de Predator. La menace mondiale d’un logiciel espion « réglementé par l’Union européenne » montre que même des garde-fous étendus en matière de droits humains ne sauraient protéger la société civile contre les logiciels espions hautement intrusifs. C’est pourquoi Amnesty International appelle à une interdiction permanente des logiciels espions hautement intrusifs et à un moratoire – arrêt de la vente, du transfert et de l’utilisation de tous les logiciels espions – jusqu’à ce qu’un cadre réglementaire adéquat en matière de droits humains soit mis en place aux niveaux national et international pour protéger les personnes contre les atteintes aux droits fondamentaux causées par des logiciels espions et d’autres technologies de surveillance.
Si vous faites partie de la société civile et pensez avoir été victime d’une attaque de logiciel espion, contactez-nous pour obtenir une aide en matière de criminalistique numérique [1].