Donncha Ó Cearbhaill, responsable du Security Lab d’Amnesty International, explique comment l’équipe soutient des personnes susceptibles d’être victimes de piratage et pourquoi des entreprises telles qu’Apple et Google prennent des mesures en réponse aux constats d’Amnesty International.
« Lorsqu’Amnesty a découvert qu’un membre de son personnel travaillant sur l’Arabie saoudite avait été la cible de Pegasus - un type de logiciel espion développé par la société israélienne d’armes cybernétiques NSO Group, alors peu connue - il y a eu un moment d’horreur.
En 2018, ce lien malveillant - lié au logiciel espion Pegasus de NSO Group - a été transmis par le biais d’un message WhatsApp sur le téléphone personnel de cet employé. Cette personne n’était pas la seule cible. À l’époque, les recherches d’Amnesty International ont permis d’identifier un opposant saoudien visé par la même campagne. Le lien WhatsApp initial a été l’indice clé qui a permis de démêler un réseau de 600 domaines différents utilisés pour lancer des attaques Pegasus dans des dizaines de pays.
Une fois le logiciel espion introduit dans les téléphones, il a pu extraire toutes les données des appareils, notamment les photos, les messages, les positions GPS, les messages sur Signal - il pouvait même filmer avec la caméra du téléphone.
Après cette attaque, un Security Lab officiel a été créé sous la direction de Claudio Guarnairi, qui avait à son actif des années d’expérience en matière d’enquêtes sur les attaques numériques. À partir de ce moment, un ensemble de talentueux spécialistes des technologies ont été recrutés pour travailler aux côtés d’autres chercheurs et chercheuses d’Amnesty, afin d’enquêter sur les logiciels espions, les escroqueries par hameçonnage et d’autres types d’attaques numériques. Le but ? Mettre au jour les attaques visant la société civile, publier nos conclusions et élaborer des solutions pour que la société civile puisse se protéger. Le secteur de la cybersécurité se concentrait sur la protection des entreprises, et rares étaient les initiatives ayant pour but de lutter contre les menaces sophistiquées que certains gouvernements faisaient peser sur les défenseur·e·s des droits humains.
Adolescent, j’étais passionné par le militantisme et la technologie. Il me paraissait naturel que des technologies émergentes et des approches techniques puissent être utilisées pour lutter contre les violations des droits humains. J’ai déménagé à Berlin en 2014, peu après les révélations d’Edward Snowden sur la surveillance, et j’y vis encore aujourd’hui. Il y avait à l’époque tout un mouvement de hackers, de militant·e·s et de défenseur·e·s du droit à la vie privée très engagés en faveur de la lutte contre l’utilisation abusive des technologies et des systèmes de surveillance. Cette communauté a été une source d’inspiration et il existe toujours un collectif dynamique de personnes comme moi qui s’attaquent à la surveillance, aux logiciels espions et à d’autres abus rendus possibles par les technologies. Rejoindre le Security Lab me convenait parfaitement, car j’avais la possibilité d’utiliser mes compétences pour rechercher et dénoncer les abus technologiques commis par les États, ainsi que par les entreprises qui fournissent des technologies permettant de surveiller des militant·e·s.
Découverte d’un piratage
Le laboratoire de sécurité d’Amnesty International mène ses recherches de plusieurs manières, en employant des stratégies et des outils qui ont évolué au fil des années.
Au début, nous attendions que des militant·e·s nous contactent et partagent avec nous des courriels ou des liens suspects qu’ils avaient reçus. Nous déterminions ensuite s’il s’agissait d’un message indésirable ou d’un cybercrime visant à voler de l’argent. Parfois, il s’agissait d’une attaque plus ciblée, et nous pouvions confirmer si les comptes de cette personne étaient spécifiquement visés ou s’il s’agissait d’une tentative de s’introduire dans son téléphone.
Certains logiciels espions sont cependant si sophistiqués qu’ils n’envoient pas de lien à la victime. Ils utilisent au lieu de cela une « attaque zéro clic », ce qui signifie que votre téléphone est piraté sans que vous ne le sachiez.
La nuit, pendant que vous dormez, votre téléphone à côté de vous, le gouvernement peut, à l’aide de logiciels espions, envoyer des messages silencieux conçus à cet effet. Ces messages tirent parti d’une faille subtile dans le logiciel du téléphone, ce qui permet à l’agresseur de s’introduire dans le téléphone et d’accéder à toutes les données qu’il contient. Le logiciel commencera à extraire des photos, des positions GPS, des messages Signal - tout ce qui se trouve sur le téléphone. Souvent, il n’y a pas de méthode facile pour se protéger, car le téléphone est piraté par le biais d’une vulnérabilité non corrigée dans le téléphone, inconnue du fabricant.
Après avoir découvert que des téléphones étaient piratés à l’aide d’attaques « zéro clic », nous avons mis au point des outils techniques innovants, notamment le Mobile Verification Toolkit (boîte à outils de vérification mobile [1]), afin d’analyser les appareils des cibles potentielles et d’y déceler les traces caractéristiques laissées par un logiciel espion. Ces outils sont désormais utilisés par des organisations de la société civile du monde entier pour identifier de nouvelles victimes et mettre au jour les campagnes de logiciels espions. Il s’agit d’un processus complexe - un peu comme jouer au chat et à la souris - car à chaque fois que nous trouvons un logiciel espion et que nous publions nos conclusions, l’entreprise lit nos rapports et adapte son logiciel pour éviter d’être détectée à l’avenir. Nous avons toujours un combat à mener, qui devient de plus en plus ardu au fil du temps.
« S’il peut être fatiguant de passer en revue 30 ou 50 téléphones pour ne finalement rien trouver, lorsque nous détectons une nouvelle attaque et que nous aidons à protéger les personnes qui en sont la cible, tout notre travail et nos efforts en valent la peine »
S’attaquer aux violations technologiques
Le Security Lab ne cesse de prendre de l’ampleur. S’il peut être fatiguant de passer en revue 30 ou 50 téléphones pour ne finalement rien trouver, lorsque nous détectons une nouvelle attaque et que nous aidons à protéger les personnes qui en sont la cible, tout notre travail et nos efforts en valent la peine.
En 2021, Amnesty International a collaboré avec une douzaine de médias partenaires du monde entier dans le cadre du projet Pegasus, qui a fourni des éléments d’analyse scientifique prouvant que le logiciel de NSO Group avait été utilisé pour espionner des centaines de personnes dans le monde entier figurant sur une liste divulguant 50 000 cibles de logiciels espions, parmi lesquelles des chefs d’État, des militant·e·s, des journalistes et des personnes critiques à l’égard du gouvernement, notamment la famille de Jamal Khashoggi.
Tout récemment, l’organisation a publié un rapport sur une nouvelle société mercenaire de cybersurveillance qui développerait des outils de surveillance pour les vendre à des gouvernements peu scrupuleux.
Grâce à leur approche proactive, les chercheurs ont identifié une nouvelle campagne de logiciels espions visant des personnes utilisant des téléphones Android et iPhone. Les informations partagées par Amnesty Interrnational avec Google, qui assure la gestion des systèmes d’exploitation Android, ont permis aux spécialistes de la sécurité à Google de trouver et de corriger les vulnérabilités utilisées dans des attaques ayant visé un milliard d’appareils Android. En collaboration avec des chercheurs de Google, l’équipe d’Amnesty International a également identifié une chaîne de failles connexe visant les utilisateurs d’iPhone. Ces failles ont été signalées à Apple, qui a déployé un correctif d’urgence pour tous les utilisateurs d’iPhone, mettant ainsi immédiatement fin à l’attaque.
Un autre cas notable a concerné Khadija Ismayilova [2], journaliste et militante azerbaïdjanaise aux propos sans détour, qui a été harcelée et emprisonnée pour son travail sur la corruption au sein du gouvernement. Amnesty International a découvert que son téléphone était piraté chaque semaine par le biais d’attaques de type zéro clic lancées par Pegasus. L’exploitation de ces failles permettait de s’introduire dans son téléphone pour voir tous ses messages et toutes ses photos, ce qui l’exposait, ainsi que ses proches, à un grand danger. Lorsque nous avons découvert cette attaque et recueilli des preuves, Khadija était dévastée car elle faisait déjà tout ce qui était en son pouvoir pour protéger ses appareils, elle-même et ses sources. Une entreprise commercialisant des logiciels espions pesant des milliards de dollars, associée à un gouvernement puissant qui piétine les droits, peut cependant contourner les mesures de sécurité les plus strictes.
Après avoir découvert ce piratage, nous l’avons aidée à protéger son téléphone et ses informations. Les conclusions d’Amnesty International dans le cadre du projet Pegasus ont également intensifié les pressions incitant Apple à prendre des mesures volontaristes afin de protéger les personnes spécifiquement visées par des outils d’espionnage avancés et sophistiqués, et à utiliser ses ressources pour aider à protéger ces groupes à risque. Depuis lors, Apple a lancé un programme de notifications dans le cadre duquel ses services déterminent eux-mêmes qui a été pris pour cible par des logiciels espions puis, au bout de quelques mois, envoient une nouvelle série de notifications aux personnes à risques, ainsi que des conseils sur la manière de rester protégé·e. Cela a aidé à déterminer qui sont les personnes ou les groupes susceptibles d’être visés par les systèmes de logiciels espions.
Se protéger contre les attaques de logiciels espions sophistiqués
Il est difficile de se protéger totalement contre les attaques, car nombre d’entre elles sont subtiles et difficiles à identifier. Si vous utilisez un iPhone, vous pouvez activer le « mode verrouillage » - une nouvelle fonctionnalité proposée par Apple à la suite d’enquêtes menées par Amnesty International et d’autres partenaires de la société civile. Il s’agit d’un mode optionnel de sécurité accrue pouvant empêcher de nombreuses formes d’attaques par des logiciels espions avancés. Si vous craignez le piratage ou la saisie de votre appareil, il peut être utile de réduire le plus possible les données sensibles présentes sur votre téléphone - par exemple, en utilisant la fonction de disparition des messages sur Signal. Les membres de la société civile ayant des inquiétudes concrètes concernant le ciblage par des logiciels espions peuvent demander l’aide d’experts, notamment sur la plateforme d’assistance pour la sécurité numérique d’Access Now, ainsi qu’auprès du Security Lab d’Amnesty International.
Je suis fier de ce que nous accomplissons. Même si les temps sont difficiles, il est encourageant de pouvoir révéler une nouvelle campagne de logiciels espions ou corriger une chaîne d’exploitation de failles de type « zero day », ce qui permet à une entreprise comme Apple de résoudre le problème pour tous les utilisateurs et utilisatrices d’iPhone. C’est une bonne nouvelle pour les défenseur·e·s des droits humains qui ont une menace de moins à gérer, et une mauvaise pour les sociétés de logiciels espions qui portent atteinte aux droits, qui peuvent avoir perdu une chaîne d’exploitation zero day valant des millions de dollars, voire plus !