Nous avons toujours su que les gouvernements et les forces militaires s’espionnaient mutuellement. Mais depuis cinq ans environ, nous les avons vus se mettre à espionner les ONG, les journalistes et les défenseurs des droits humains.
Le monde a appris pour la première fois que les États pirataient des cibles « civiles » en 2010, lorsque Google a révélé avoir détecté une intrusion du gouvernement chinois. Adobe Systems et Juniper Networks ont alors confirmé avoir été attaqués dans le même cadre et de nouvelles investigations ont révélé que Yahoo et Symantec étaient également visés. Parallèlement, le gouvernement chinois ciblait les ONG tibétaines à l’aide de méthodes similaires et il continue de persécuter la communauté tibétaine.
Depuis lors, espionner les militants pour avoir accès à leurs communications, à leurs réseaux et à leur vie en ligne est devenu une pratique courante pour les gouvernements du monde entier. Lorsqu’une vague de soulèvements révolutionnaires a déferlé sur le monde arabe en 2011, elle s’est accompagnée d’une campagne de surveillance ciblée des groupes militants.
Espionner les militants pour avoir accès à leurs communications, à leurs réseaux et à leur vie en ligne est devenu une pratique courante pour les gouvernements du monde entier
Morgan Marquis-Boire et Eva Galperin
Journalistes, militants et avocats
Mamfakinch, groupe de journalistes et de militants marocains, a été piraté par son propre gouvernement grâce à un logiciel espion commercialisé par Hacking Team, entreprise italienne de surveillance. Bahrain Watch, ONG qui s’intéresse aux ventes d’armes à destination du gouvernement de Bahreïn, a été prise pour cible (ainsi que d’autres éminents militants et avocats bahreïnites), à l’aide d’un autre pack de logiciels espions commerciaux, FinFisher (qui, bien que fabriqué en Allemagne, était à l’époque distribué par la compagnie britannique Gamma Group).
Aux Émirats arabe unis, Ahmed Mansoor, membre du comité consultatif de Human Rights Watch pour le Moyen-Orient, a ouvert un document malveillant qui a installé sur son ordinateur le logiciel espion de Hacking Team, permettant aux autorités locales de suivre ses mouvements et de lire ses mails. Un groupe de hackers soutenant le gouvernement syrien, l’Armée électronique syrienne, s’est également lancé dans un piratage frénétique, compromettant de nombreux médias, ainsi que Human Rights Watch.
Piratage multicouches
Cette activité n’est certainement pas limitée au monde arabe. Les agences britanniques de renseignements ont intercepté les communications privées d’Amnesty International. Fin 2012, le Centre pour la démocratie et la technologie, aux États-Unis, a été pris pour cible par des groupes soutenus par l’État chinois. En décembre 2013, des employés de l’Electronic Frontier Foundation (EFF), aux États-Unis, qui travaillaient avec des militants vietnamiens, ont été pris pour cibles par des groupes associés au gouvernement vietnamien.
L’attaque visant l’EFF faisait partie d’un programme de piratage sur plusieurs années, ciblant notamment un journaliste de l’Associated Press, un universitaire vietnamien installé en France, et le fondateur de « Ba Sam », blog dissident vietnamien parmi les plus populaires. Plus récemment, en août 2015, un autre militant de l’EFF a été visé par une attaque sophistiquée d’hameçonnage émanant de personnes liées au gouvernement iranien.
La partie émergée de l’iceberg
Ces attaques recensées ne sont que la partie émergée de l’iceberg. Analyser les incidents jusqu’à être en mesure de faire des déclarations fiables sur les pirates nécessite du temps et de l’expertise – sans que cela suffise à garantir des résultats concluants. Par exemple, la cyberattaque contre le Comité pour la protection des journalistes en 2012 semblait motivée par des considérations politiques, mais n’a jamais pu être attribuée à un gouvernement en particulier.
D’autres raisons expliquent que les attaques visant les ONG ne soient pas recensées. Beaucoup n’ont pas l’infrastructure nécessaire pour détecter qu’une attaque a lieu. Même si elles remarquent un courriel d’hameçonnage par exemple, elles n’ont pas les compétences en interne, ne savent pas où obtenir l’aide requise, ou rechignent à la solliciter de peur d’avoir à admettre qu’elles ont été mises en danger. En outre, beaucoup choisissent de ne pas dévoiler leurs problèmes de sécurité par peur de saper la confiance de leurs militants.
Beaucoup d'ONG n'ont pas l'infrastructure nécessaire pour détecter qu'une attaque a lieu.
Morgan Marquis-Boire et Eva Galperin
Le silence, l’allié des pirates
Que peuvent faire les ONG et les organisations de défense des droits humains ? Tout d’abord, comprendre qu’elles ne peuvent pas se fier uniquement à des communications chiffrées pour se protéger. Ensuite, mettre au point une stratégie afin de faire face aux attaques ciblées, notamment en développant un réseau d’experts à contacter en cas d’attaque, et en payant une infrastructure et des professionnels de la sécurité.
Enfin, elles ne doivent plus se taire lorsqu’elles sont la cible de piratage cautionné par l’État. Le silence est le meilleur allié des pirates. Rendre publiques des informations sur les attaques imputables aux États peut servir aux autres ONG en butte à des menaces similaires, donne aux utilisateurs potentiellement vulnérables les informations dont ils ont besoin pour renforcer leur protection et nous permet d’avoir une conversation réaliste sur les menaces auxquelles sont confrontés les militants partout dans le monde et sur ce qu’il est possible de faire pour les protéger.
Morgan Marquis-Boire est conseiller par intérim auprès du Conseil Technologie et droits humains d’Amnesty International, et apporte son expertise sur les menaces liées au renseignement et à la sécurité afin d’éclairer nos recherches et nos campagnes sur les violations des droits humains liées aux nouvelles technologies. Eva Galperin est analyste de la politique globale à l’Electronic Frontier Foundation (EFF), à San Francisco.