Les menaces de la surveillance numérique en 2020

Des attaques de logiciels espions sophistiquées au hameçonnage de masse via les smartphones, en passant par la popularisation des technologies de reconnaissance faciale, les menaces posées par la surveillance aux défenseur·e·s des droits humains sont de plus en plus importantes, tant en termes de diversité que de portée.

Les équipes de sécurité qui tentent de protéger les militants et les militantes sont engagées dans un jeu du chat et de la souris, car les personnes derrière ces attaques s’adaptent rapidement aux développements en matière de sécurité.

« Si les pirates informatiques voient que les gens passent à [l’application de messagerie] Signal, par exemple, ils vont essayer de cibler Signal. Si on s’oriente vers les technologies VPN, ils vont commencer à les bloquer. Si le navigateur Tor gagne en popularité, ils vont viser les flux de Tor », explique Ramy Raoof, expert en technologie tactique à Amnesty Tech.

Selon lui, l’un des axes de travail majeurs en 2020 sera le ciblage personnalisé des smartphones, qui a fait la une des journaux en 2019. En octobre 2019, l’application de messagerie WhatsApp, qui appartient au groupe Facebook, a entamé des poursuites judiciaires médiatisées contre l’entreprise de surveillance NSO Group, pour des attaques par logiciel espion sur plus de 1 000 utilisateurs.

Mi-janvier 2020, les attaques numériques malveillantes se trouveront sous les feux des projecteurs lors de l’audience à Tel Aviv d’une action en justice intentée par Amnesty International et d’autres organisations de défense des droits humains. Les défenseur·e·s des droits humains veulent obliger le ministère de la Défense israélien à retirer la licence d’exportation de NSO Group, dont les produits ont servi à cibler des militant·e·s dans le monde entier.

Aujourd’hui, les nouvelles technologies ne requièrent plus l’ouverture d’un lien pour infecter un appareil, selon Étienne Maynier, spécialiste de la sécurité à Amnesty Tech. Une attaque visant un militant au Maroc a clandestinement intercepté sa navigation sur Internet pour implanter un logiciel espion de NSO Group dans son téléphone. « Au lieu d’attendre que vous cliquiez sur un lien, ils s’infiltrent dans votre flux de navigation Internet et ils vous redirigent vers un site malveillant qui tente d’installer discrètement un logiciel espion », indique Étienne Maynier.

Le piratage de téléphones pourtant bien protégés est de plus en plus courant, et les équipes de sécurité doivent faire face à une pression accrue de la part du secteur naissant des failles « zero-day », dans lequel des pirates peu scrupuleux recherchent des nouvelles vulnérabilités au sein des logiciels et les vendent.

En mai 2019, NSO Group a exploité une vulnérabilité zero-day dans WhatsApp, qui a été utilisée pour cibler plus de 100 défenseur·e·s des droits humains dans le monde entier par un logiciel espion.

Hameçonnage

Amnesty Tech lutte également contre des attaques aux technologies plus anciennes, mais néanmoins efficaces, qui peuvent toucher un grand nombre de victimes en quelques minutes.

Le hameçonnage de masse par SMS ou via des applications sur smartphones est une méthode peu coûteuse, plus répandue que les logiciels espions et n’est que trop souvent couronnée de succès.

L’objectif du hameçonnage est de piéger les utilisateurs et les utilisatrices afin d’obtenir des informations personnelles, comme des mots de passe. Les attaques prennent souvent la forme d’une demande de réinitialisation de mot de passe accompagnée d’un lien, qui prétend provenir d’un opérateur de téléphonie mobile ou d’un réseau social. Il arrive également que les pirates prétendent être un ami ou une connaissance de leur cible, et qu’ils partagent un lien vers une application qui contient déjà un codage malveillant.

Étienne Maynier ajoute que ces attaques recourent souvent à des formes de « pression sociale », en poussant leur cible à ouvrir un lien ou un document ; par exemple, le message semble venir d’une organisation de confiance qui affirme vouloir travailler avec son destinataire.

« C’est très peu coûteux, très efficace et très facile à lancer à grande échelle », explique Ramy Raoof, qui prédit que la nouvelle vague de hameçonnage de 2020 représentera une menace pour les défenseur·e·s des droits humains du monde entier, en raison de leur dépendance croissante aux téléphones portables.

Comment sécuriser vos échanges

Ramy Raoof, expert en technologie tactique à Amnesty Tech, propose quelques conseils simples

Recommandations générales pour iPhones et appareils Android : Téléchargez vos applications uniquement à partir de l’App Store ou du Play Store. Cela empêchera l’accès non autorisé à vos informations personnelles et limitera le risque d’attaques. Mettez régulièrement votre système et vos applications à jour, pour disposer des derniers patchs de sécurité. Activez la « récupération de compte » au cas où vous n’auriez plus accès à votre téléphone. Enfin, choisissez un système de verrouillage de l’écran qui soit difficile à deviner, comme un code à huit chiffres ou un mot de passe alphanumérique.

Gestion des mots de passe : Si vous utilisez un gestionnaire de mots de passe, vous n’aurez plus besoin de craindre un trou de mémoire et vous pourrez éviter d’utiliser toujours les mêmes. Cet outil crée et enregistre des mots de passe forts en toute sécurité, de manière à ce que vous puissiez utiliser des mots de passe différents pour chaque site et chaque service. Il existe plusieurs applications de gestion des mots de passe, comme KeePassXC, 1Password ou Lastpass. N’oubliez pas de sauvegarder la base de données de votre gestionnaire de mots de passe.

Applications de messagerie : Lorsque nous conseillons les défenseur·e·s sur les applications de messagerie, nous évaluons chacune d’entre elles selon sa politique (conditions d’utilisation, politique de confidentialité), son développement technologique (logiciel libre, possibilité de commenter, réalisation d’audits, sécurité) et sa performance (adaptation des fonctionnalités aux besoins et aux menaces rencontrées). De manière générale, Signal et Wire sont deux messageries qui protègent correctement la vie privée de leurs utilisateurs et utilisatrices. Attention : Il faut une carte SIM pour s’inscrire sur Signal, et un nom d’utilisateur/courriel pour Wire.
Utilisation des réseaux WI-Fi publics et des VPN : Lorsque vous vous connectez au Wi-Fi d’un café ou d’un aéroport, vos activités en ligne passent par ce réseau. S’il y a également des pirates informatiques sur ce réseau, ils peuvent récupérer vos données personnelles. L’utilisation d’une application VPN sur vos appareils permet de protéger vos activités en ligne sur les réseaux Wi-Fi publics en empêchant votre navigation d’être accessible aux autres utilisateurs du réseau. Si cela vous intéresse, vous pouvez par exemple essayer NordVPN ou TunnelBear.