Par Morgan Marquis-Boire, San Francisco
Qu’est-ce qu’un logiciel espion et quelle est la différence avec un logiciel malveillant ?
En gros, un logiciel malveillant est un programme développé dans le but de nuire à un système informatique, sans le consentement de l’utilisateur infecté. La plupart des gens connaissent les concepts de virus, de trojans, de logiciels criminels, et même de rançongiciels, qui encodent vos données et cherchent à vous les restituer contre « rançon ». Depuis quelques années, chacun a pu se familiariser avec les logiciels malveillants utilisés à des fins de surveillance, appelés logiciels espions. Il s’agit de logiciels installés sur l’ordinateur de la victime par des représentants de l’État, des espions ou la police, et non par des cybercriminels. Ils donnent accès aux communications Internet de l’utilisateur et, dans la mesure où nos vies se trouvent désormais en ligne, c’est là que s’exerce la majeure partie de la surveillance d’État.
À quoi les gouvernements ont-ils accès ?
Tout dépend de ce que vous faites sur l’appareil concerné. Par exemple, les téléphones portables servent de moins en moins à téléphoner et de plus en plus à communiquer en ligne : un marché correspondant s’est donc développé débouchant sur la création de
Qui est pris pour cible ?
Un groupe de journalistes et de militants marocains connu sous le nom de Mamfakinch a été pris pour cible par des logiciels malveillants qui semblent avoir été déployés par les autorités marocaines. On leur a envoyé un document « appât » sous la forme d’une communication présentée comme un « scoop ». Lorsque je l’ai analysé, j’ai découvert que ce document contenait un programme malveillant qui installait secrètement des logiciels espions sur leurs appareils : le gouvernement pouvait ainsi savoir ce que Mamfakinch allait écrire et connaître ses sources.
J’ai également découvert qu’Ahmed Mansoor, éminent défenseur des droits humains aux Émirats arabes unis, avait été suivi à la trace à l’aide de logiciels espions commerciaux. Il est soumis en permanence à une surveillance physique et électronique. Il a été frappé et agressé physiquement, et menacé de mort à maintes reprises en raison de ses activités pacifiques.
Durant le Printemps arabe, le gouvernement de Bahreïn a utilisé des logiciels espions que lui avait vendus une société britannique pour surveiller un groupe appelé Bahrain Watch, qui s’intéresse aux ventes d’armes. Aux États-Unis, ESAT, chaîne de télévision par satellite qui rend compte de la situation en Éthiopie, a été prise pour cible par un logiciel espion mis au point par une autre entreprise européenne.
Qui sont les sociétés qui commercialisent des logiciels espions ?
De petites sociétés sont devenues célèbres en vendant des logiciels à des régimes répressifs. Gamma International, compagnie germano-britannique, a commercialisé le logiciel espion qui a servi à surveiller des militants à Bahreïn. Hacking Team, société italienne impliquée dans l’attaque contre Mamfakinch, avait auparavant vendu des logiciels espions à plusieurs gouvernements répressifs, notamment au Soudan, à l’Éthiopie, à Bahreïn, à l’Égypte, au Kazakhstan et à l’Arabie saoudite. Récemment, des informations ont été divulguées, révélant qu’elle avait envisagé d’en vendre à la Libye, pas plus tard qu’en mai 2015. Ensuite, il y a les grosses multinationales, comme Lockheed-Martin, BAE Systems et Raytheon, qui fabriquent également ce type de technologies. Sur cette carte, l’on peut voir d’autres acteurs impliqués dans l’obscure industrie de la surveillance.
Que peuvent faire les militants et les journalistes ?
Les défenseurs des droits humains n’utilisent que très modérément les technologies de protection comme le chiffrement, l’anonymisation et les outils de confidentialité. Or, beaucoup savent assez précisément quelles informations sensibles – documents, communications, recherches – ils aimeraient protéger. La prochaine étape consiste à se former et à penser la sécurité de manière saine. Diverses ressources en ligne existent, telles que le pack d’autoprotection contre la surveillance développé par l’Electronic Frontier Foundation (EFF). Pour un guide simple et rapide, vous pouvez également lire ce blog rédigé par un collègue de Citizen Lab.
J’évite de préconiser de manière générale des outils individuels comme s’ils étaient la panacée, parce qu’aucun n’est le remède universel contre la surveillance. Il faut comprendre qu’on ne prend pas cette décision uniquement pour soi-même, mais aussi pour les gens avec lesquels on communique et qui peuvent se trouver dans une situation dangereuse.
Que doit faire Amnesty International ?
Je me réjouis que des organisations comme Amnesty commencent à dénoncer les dangers de la surveillance pour les mouvements de défense des droits humains. Amnesty, qui a elle-même été espionnée, a fait l’expérience de cette tendance délétère. J’espère que cela permettra de promouvoir une « hygiène de sécurité » plus positive dans cet espace. Je me réjouis également qu’Amnesty fasse pression en faveur d’un changement de politique plus constructif dans ce domaine. J’appelle de mes vœux une plus grande transparence de la part des gouvernements quant à l’usage de ce type de surveillance, et une conscience plus affûtée parmi les citoyens et les petites organisations quant aux mesures de sécurité qu’ils devraient prendre.
Quel avenir se profile ?
Il est difficile de prédire l’avenir à long terme, car c’est un domaine technologique qui évolue rapidement. La NSA (Agence nationale de sécurité américaine) a affirmé qu’elle allait cesser de collecter des métadonnées à partir de téléphones portables, tandis que le gouvernement britannique et le FBI se sont montrés alarmistes au sujet de l’encodage des applications de messagerie et de discussion et ont demandé un accès élargi aux données privées des utilisateurs. S’il est très délicat de prédire l’évolution de la situation, il ne fait aucun doute que les citoyens doivent s’impliquer dans le débat et s’intéresser aux actions des gouvernements.
Morgan Marquis-Boire
Morgan Marquis-Boire est conseiller par intérim auprès du Conseil Technologie et droits humains d’Amnesty International, et apporte son expertise sur les menaces liées au renseignement et à la sécurité afin d’éclairer nos recherches et nos campagnes sur les violations des droits humains liées aux nouvelles technologies.