Un journaliste marocain victime d’attaques par injection réseau au moyen d’outils conçus par NSO Group

Résumé

  • En octobre 2019, Amnesty International a publié un premier rapport sur l’utilisation d’un logiciel espion produit par l’entreprise israélienne NSO Group en vue de cibler des défenseurs des droits humains marocains, Maati Monjib et Abdessadak El Bouchattaoui. À l’issue des investigations qu’a continué de mener Security Lab, l’équipe de spécialistes de la sécurité numérique de l’organisation, Amnesty International a mis au jour d’autres éléments similaires révélant qu’Omar Radi, journaliste et militant de premier plan du Maroc, a lui aussi été visé de janvier 2019 à fin janvier 2020.
  • L’analyse technique de l’iPhone d’Omar Radi a fait apparaître des traces des mêmes attaques par « injection réseau » que celles visant Maati Monjib et décrites dans le précédent rapport. Ces traces constituent de solides éléments permettant d’établir un lien entre ces attaques et les outils conçus par NSO Group.
  • Ces constatations sont d’autant plus lourdes de conséquences qu’Omar Radi a été visé trois jours seulement après la publication par NSO Group de sa politique en matière de droits humains. Les attaques se sont donc poursuivies après que l’entreprise eut pris connaissance du premier rapport d’Amnesty International attestant d’attaques ciblées menées au Maroc. Les recherches de l’organisation montrent de ce fait que NSO Group continue de ne pas faire preuve de la diligence requise en matière de droits humains et que sa politique en la matière est inefficace.

Introduction

Dans un rapport publié en octobre 2019 et intitulé Maroc. Des défenseurs des droits humains ciblés par un logiciel espion de NSO Group, Amnesty International a présenté des informations détaillées sur le ciblage des défenseurs des droits humains marocains au moyen d’une technologie de surveillance développée par l’entreprise. Dans ce nouveau rapport, l’organisation révèle que le journaliste Omar Radi, autre défenseur des droits humains de premier plan du Maroc, a lui aussi été ciblé à l’aide des outils de l’entreprise.

Crédits photo: Fanny Hedenmo

Les autorités marocaines ont récemment intensifié la répression de l’opposition pacifique, arrêtant et poursuivant de façon arbitraire des personnes, dont le journaliste Omar Radi, des rappeurs et des youtubeurs – beaucoup, pour le simple fait d’avoir critiqué le roi ou d’autres représentants de l’État. Depuis novembre 2019, Amnesty International a recueilli des informations sur au moins 10 militants arrêtés illégalement et poursuivis en justice. Ces 10 personnes ont toutes été inculpées d’« outrage » envers des fonctionnaires, des institutions publiques, le roi ou la monarchie, acte érigé en infraction dans le Code pénal marocain. Entre novembre 2019 et mars 2020, elles ont été condamnées à des peines d’emprisonnement comprises entre quatre mois avec sursis et quatre ans ferme. Amnesty International a demandé aux autorités marocaines d’abandonner les poursuites et de libérer les personnes condamnées parce qu’elles ont exercé leur droit à la liberté d’expression. Elle les a également engagées à modifier le Code pénal afin de dépénaliser ce droit.

Le 26 décembre 2019, les autorités marocaines ont arrêté Omar Radi en raison d’un tweet publié en avril, où il critiquait la justice parce qu’elle avait confirmé le jugement rendu contre des personnes ayant pris part au Hirak du Rif, mouvement de contestation qu’avait connu cette région du nord du Maroc en 2017. Quelques jours après son arrestation, il a été libéré à titre provisoire par un tribunal de Casablanca. Cependant, le 17 mars, il a été condamné à une peine de quatre mois d’emprisonnement avec sursis et à une amende de 500 dirhams.

Le militant marocain Omar Radi est un journaliste d’investigation primé qui travaille pour plusieurs médias nationaux et internationaux, dont Atlantic Radio et TelQuel. Dans le cadre de ses recherches, il s’est intéressé aux liens unissant les intérêts du monde des affaires et du monde politique au Maroc, il a abordé les questions de corruption et d’autres atteintes aux droits humains sur le territoire, et il a souvent dénoncé l’impunité persistante et l’absence de justice dans le pays.

Security Lab a réalisé une analyse forensique du téléphone d’Omar Radi et y a découvert des traces portant à croire qu’il a fait l’objet des mêmes attaques par injection réseau que celles observées contre Maati Monjib et décrites dans le précédent rapport de l’organisation. Les recherches d’Amnesty International ont permis de confirmer que son téléphone a été ciblé et surveillé au même moment où il était poursuivi en justice. Elles révèlent ainsi que les défenseur·e·s des droits humains se retrouvent bien souvent face à un double problème : une surveillance numérique à laquelle viennent s’ajouter d’autres tactiques de répression pénale déployées par les autorités marocaines et conduisant à une restriction de l’espace d’expression de l’opposition. 

Injection réseau, fausses antennes-relais et NSO Group

En raison de l’absence de transparence qui caractérise le secteur de la surveillance, il est difficile de savoir quels outils sont utilisés, vendus, achetés et détournés de leur utilisation légitime. En conséquence, les victimes et les organismes chargés de surveiller les activités de ce secteur ont du mal à obtenir le respect de l’obligation de rendre des comptes. Les recherches menées à ce jour par Amnesty International ont malgré tout permis de faire la lumière sur l’évolution des technologies de NSO Group. Jusqu’au début de l’année 2018, les clients de l’entreprise recouraient principalement à l’envoi de messages SMS et WhatsApp incitant la personne ciblée à cliquer sur un lien malveillant afin d’attaquer et d’infecter son appareil mobile. Comme expliqué dans son rapport d’octobre 2019, Amnesty International a découvert que de nouvelles techniques étaient utilisées pour installer des programmes malveillants de façon plus furtive mais aussi plus efficace. Intervenant par « injection réseau », les auteurs de ces attaques sont désormais capables d’installer un logiciel espion sans aucune interaction de la personne ciblée.

Alors que les anciennes techniques nécessitaient dans une certaine mesure d’inciter l’utilisateur à effectuer une action donnée, le processus d’injection réseau permet une redirection automatique et invisible des navigateurs et applications de celui-ci vers des sites malveillants, contrôlés par les auteurs de l’attaque et fort probablement inconnus de la victime. Ceux-ci peuvent ainsi exploiter rapidement les failles de sécurité logicielles et infecter un appareil.

Ce type d’attaque n’est possible que si ses auteurs peuvent surveiller et manipuler les données de trafic Internet de la personne ciblée. Dans le cas d’Omar Radi comme de Maati Monjib, toutes les tentatives se sont produites alors qu’ils utilisaient leur connexion mobile LTE/4G.

Deux techniques peuvent être envisagées pour mener ce type d’attaque : le déploiement d’un appareil généralement appelé « fausse antenne-relais », « intercepteur d’IMSI » ou « Stingray », ou l’accès à l’infrastructure interne d’un opérateur de réseau mobile. On ignore pour le moment quelle technique a été utilisée pour cibler Omar Radi et Maati Monjib.

Les fonctionnalités d’injection réseau offertes par NSO Group ont été brièvement décrites dans le document intitulé Pegasus – Product Description (vraisemblablement rédigé par l’entreprise), découvert en 2015 lors d’une fuite de données d’un concurrent italien, Hacking Team, qui commercialise lui aussi des logiciels espions. Par ailleurs, dans un article publié en janvier 2020, le site d’information Business Insider a évoqué la technologie d’interception mobile présentée par NSO Group à l’occasion de Milipol, salon consacré à la sécurité intérieure dont la dernière édition s’est tenue à Paris en novembre 2019.

Crédits photo : Becky Peterson/Business Insider

Sur cette photo, on peut voir ce qui semble être un modèle de fausse antenne-relais vendu par NSO Group ; ce dispositif pourrait servir à mettre en œuvre l’une des deux techniques recensées ci-dessus pour lancer une attaque par injection réseau.

Ces appareils imitent le fonctionnement de stations de base de téléphonie mobile et se font passer pour des antennes-relais légitimes de sorte que les téléphones situés à proximité s’y connectent et que les auteurs de l’attaque puissent manipuler le trafic mobile intercepté. La fausse antenne-relais que l’on voit sur cette photo semble constituée de plusieurs cartes imbriquées les unes sur les autres, cette architecture étant probablement destinée à permettre aux auteurs de l’attaque d’intercepter des contenus sur différentes bandes de fréquences pour les réseaux GSM, 3G, 4G, etc. Comme l’a montré NSO Group sur son stand d’exposition à Milipol, ce dispositif électronique peut être de taille relativement réduite, facilement transportable et dissimulé à bord de petits véhicules.

Autre solution : les auteurs de l’attaque peuvent également intercepter et pirater le trafic Internet des smartphones ciblés s’ils obtiennent l’accès à l’opérateur de téléphonie mobile de la victime. Dans ce cas, au lieu d’installer une fausse antenne-relais à proximité de la cible, ils s’appuient sur l’infrastructure réseau existante de l’opérateur de téléphonie mobile de la cible.

Il ressort ainsi des attaques qui ont ciblé par le passé des défenseurs des droits humains au Maroc et qui ont été examinées par Amnesty International que des outils de NSO Group ont pu servir à mener des attaques par injection réseau. Les informations disponibles publiquement indiquent aussi clairement que NSO Group propose à ses clients des fonctions d’injection réseau. Si l’on ajoute à ces informations les éléments techniques détaillés dans la partie suivante, qui attestent de chevauchements dans le temps, révèlent des preuves numériques et mettent en évidence une infrastructure associée à de précédentes attaques de surveillance au Maroc au moyen d’outils de NSO Group, l’hypothèse selon laquelle les outils d’injection réseau de NSO Group auraient été utilisés apparaît de plus en plus solide. 

Omar Radi victime d’attaques par injection réseau entre janvier 2019 et janvier 2020

D’après l’analyse du téléphone de Maati Monjib effectuée précédemment par Amnesty International, un programme malveillant y a été exécuté à partir de début 2018 et jusqu’au mois de juin 2019 au moins. Alors qu’entre 2017 et 2018 il a reçu des messages SMS contenant des liens malveillants associés à NSO Group, Amnesty International explique dans son rapport d’octobre 2019 que le téléphone de Maati Monjib semble avoir fait l’objet de redirections malveillantes lorsqu’il consultait Internet dans le navigateur Safari. L’organisation avait alors avancé que ces redirections étaient le signe d’attaques par injection réseau, manipulant le trafic Web non chiffré pour contraindre le navigateur du téléphone à se rendre sur un site d’exploit associé au nom de domaine free247downloads[.]com, à l’insu de Maati Monjib.

Lors de l’analyse du téléphone d’Omar Radi, des traces de ce même domaine ont été retrouvées. Les preuves numériques qu’Amnesty International a extraites de l’appareil donnent à penser que des attaques par injection réseau se sont produites les 27 janvier, 11 février et 13 septembre 2019.

Outre le même site d’exploit, Amnesty International a trouvé sur le téléphone d’Omar Radi les mêmes preuves d’exécution d’un programme malveillant que sur celui de Maati Monjib, ce qui est venu corroborer l’hypothèse selon laquelle le même logiciel espion a été utilisé dans les deux cas, à savoir – sur la base des chevauchements d’infrastructure et des caractéristiques des liens utilisés – Pegasus développé par NSO Group.

La chronologie ci-dessous recense les principales dates en lien avec le logiciel espion de NSO Group au Maroc. Les preuves numériques extraites des deux téléphones mettent en évidence l’articulation entre les différents stades des attaques.

Le schéma ci-dessous illustre l’attaque par injection réseau observée sur le téléphone d’Omar Radi alors qu’il consultait un site Web non chiffré (http au lieu de https) :

Le 2 octobre 2019, dans le cadre de son processus de publication, Amnesty International a communiqué à NSO Group les conclusions de son rapport Maroc. Des défenseurs des droits humains ciblés par un logiciel espion de NSO Group avant sa publication, donnant ainsi à l’entreprise la possibilité de répondre aux informations qu’il révélait. D’après des données recueillies par le service d’enquête Internet Censys.io, l’infrastructure associée aux sous-domaines de free247downloads[.]com et contrôlée par les auteurs des attaques a été mise hors service le 6 octobre 2019, après avoir fonctionné quasiment sans interruption depuis sa première apparition en ligne un an plus tôt. La mise hors service est intervenue quelques jours seulement après la transmission par Amnesty International de ses conclusions à NSO Group, mais avant la publication de son rapport le 10 octobre 2019.

Qui plus est, l’analyse du téléphone d’Omar Radi a révélé des traces d’injection réseau similaires, les plus récentes datant du 29 janvier 2020. Les dernières tentatives étaient associées à un nouveau nom de domaine, inconnu jusqu’alors, urlpush[.]net.

Le nom de domaine urlpush[.]net n’a été enregistré que le 6 novembre 2019, plusieurs semaines après la publication du premier rapport d’Amnesty International, ce qui laisse entendre que ce rapport a incité les auteurs des attaques à changer d’infrastructure.

Ainsi, si la chronologie des faits semble indiquer un lien avec NSO Group, les informations techniques des attaques (redirection des deux sites vers le même site Web, mode d’exécution similaire, traces numériques identiques) constituent des preuves solides permettant d’établir un lien entre les outils de l’entreprise et l’attaque ciblée visant Omar Radi.

Qui est à l’origine de ces attaques ?

NSO Group affirme ne commercialiser ses produits qu’auprès d’organismes gouvernementaux. Il est écrit sur le site Web de l’entreprise que les produits de NSO Group sont utilisés exclusivement par les services de renseignement et les organes chargés de l’application des lois des États pour combattre la criminalité et le terrorisme.

Dans son rapport de septembre 2018 intitulé Hide and Seek: Tracking NSO Group’s Spyware Operations in 45 Countries, Citizen Lab fait état d’un opérateur couvrant le Maroc qu’il surnomme « ATLAS ». Les recherches d’Amnesty International révèlent quant à elles que le recours systématique à la même infrastructure réseau malveillante pour toutes les attaques est caractéristique d’une seule et même entité utilisant le produit de NSO Group au Maroc. En outre, comme expliqué plus haut, les attaques par injection réseau observées dans le pays nécessitent soit de se situer à proximité des cibles, soit d’avoir accès aux opérateurs de téléphonie mobile marocains, ce que seuls les pouvoirs publics pourraient autoriser. Ces considérations, auxquelles s’ajoute le fait que les défenseurs des droits humains du Maroc sont systématiquement pris pour cible, amènent Amnesty International à juger les autorités marocaines responsables.

Ainsi, en dépit de la surveillance illégale de Maati Monjib et d’Abdessadak El Bouchattaoui mise au jour et prouvée par Amnesty International en octobre 2019, l’organisation conclut que le gouvernement marocain est resté un client actif de NSO Group au moins jusqu’en janvier 2020 et qu’il continue de cibler les défenseur·e·s des droits humains en toute illégalité, comme dans le cas d’Omar Radi.

Ces agissements se déroulent sur fond de surveillance croissante des défenseur·e·s des droits humains au Maroc. Le fait que les outils développés par NSO Group continuent d’être détournés de leur utilisation légitime dans le pays témoigne de l’incapacité des autorités marocaines à respecter et protéger les droits à la liberté d’expression, d’association et de réunion pacifique.

Par ailleurs, malgré les nombreux exemples d’atteintes aux droits fondamentaux, les autorités du pays exportateur octroyant les licences d’exportation à NSO Group ont manqué à leur devoir de protection des droits humains, car elles n’ont pas procédé à un examen satisfaisant des produits concernés, ni refusé les demandes d’exportation lorsqu’il existait un risque substantiel que les produits en question servent à commettre des violations des droits humains.

Amnesty International a demandé à NSO Group de réagir aux révélations faites dans le rapport. L’intégralité de la réponse de l’entreprise se trouve en annexe du présent rapport. Dans sa lettre, NSO Group n’a ni confirmé ni réfuté l’affirmation selon laquelle les autorités marocaines auraient utilisé la technologie développée par l’entreprise et a indiqué que les informations présentées dans le rapport allaient être examinées. Amnesty International fera parvenir une réponse à l’entreprise. L’organisation a également écrit au gouvernement marocain, mais il n’a pas répondu.

Des informations supplémentaires sur ces attaques sont disponibles dans l’annexe technique du présent rapport.

Absence d’initiative de la part de NSO Group pour lutter contre l’utilisation de ses outils à mauvais escient

En octobre 2019, faisant suite au rapport d’Amnesty International sur l’utilisation des outils de l’entreprise pour cibler illégalement des défenseurs des droits humains au Maroc, NSO Group a écrit à l’organisation : « Nos produits sont conçus pour aider les services du renseignement et les organes responsables de l’application des lois à sauver des vies. Ils ne sont pas destinés à surveiller les opposants ou les militants des droits humains. C’est la raison pour laquelle tous nos contrats, quel que soit le client, n’autorisent l’utilisation de nos produits qu’aux seules fins légitimes de prévention de la criminalité et du terrorisme et d’enquête dans ce type d’affaires. Si une utilisation non conforme de nos produits, en violation des termes de ces contrats, était portée à notre connaissance, nous prendrions les mesures qui s’imposent. »

Amnesty International a demandé à NSO Group si une suite avait été donnée à son premier rapport, notamment si des investigations avaient été menées, pourquoi l’entreprise n’avait pas mis fin à son contrat avec les autorités marocaines et quelles étaient les mesures qu’elle avait prises, le cas échéant, pour remédier à la situation. NSO Group n’a pas apporté de réponse précise à ces questions, indiquant que ces informations sont confidentielles.

En dépit de ce que soutient NSO Group, le présent rapport fournit des éléments solides prouvant qu’Omar Radi a été ciblé illégalement au moyen des outils de l’entreprise en janvier 2020. À cette époque, l’entreprise avait déjà connaissance de la première enquête menée par Amnesty International. Les outils de l’entreprise sont utilisés pour appuyer les efforts déployés par le gouvernement marocain afin de persécuter les gens qui s’expriment librement et de réprimer l’opposition.

Cela porte à croire que, contrairement à ce qu’elle affirme, l’entreprise n’a pas fait le nécessaire pour que cesse l’utilisation de ses outils aux fins de surveillance ciblée illégale des défenseur·e·s des droits humains au Maroc, alors qu’elle avait connaissance de cette utilisation abusive. On peut ainsi avancer que NSO Group n’a pas fait preuve de la diligence requise en matière de droits humains pour prévenir ou atténuer un préjudice et, en conséquence, a manqué à l’obligation qui lui incombe au regard des normes internationales de ne pas favoriser la commission de violations des droits humains.

En février 2019, Novalpina Capital, un fonds d’investissement privé installé au Royaume-Uni, a lancé une opération de rachat de NSO Group, lui permettant d’acquérir une participation majoritaire au capital de l’entreprise. Le 10 septembre 2019, Novalpina Capital/NSO Group a annoncé son intention de mettre en œuvre une politique en matière de droits humains, avec la création au sein de l’entreprise d’un « comité de gouvernance, de gestion des risques et de respect de la conformité ». Comme exposé dans ce rapport, trois jours seulement après ces déclarations, le 13 septembre 2019, Omar Radi a été ciblé. Il s’agit là d’un autre élément qui vient corroborer le net décalage qui existe entre la ligne de conduite affichée par l’entreprise et son comportement dans la pratique. 

Comment savoir si votre iPhone est la cible de ce type d’attaque

Si vous défendez les droits humains au Maroc et que vous possédez un iPhone, vous pouvez suivre la procédure décrite dans les vidéos ci-dessous pour rechercher des preuves d’attaques similaires à celles décrites dans ce rapport :

Comment se protéger contre les attaques par injection réseau

Pour parvenir à leurs fins, les auteurs de ces attaques ont besoin d’intercepter vos propres données de trafic Internet mobile et donc d’inspecter le contenu des sites que vous consultez. Ils attendent pour cela que vous vous rendiez sur des sites HTTP non chiffrés. Si de nombreux sites garantissent désormais le chiffrement des données en transit (signalé par https:// à la place de https://), certains ne le font toujours pas.

Les attaques par injection réseau sont difficiles à détecter, car elles ne s’accompagnent que de très peu d’indices visuels. Elles se différencient en cela d’autres tactiques de diffusion de logiciels espions, l’envoi par exemple de liens malveillants dans des messages SMS trompeurs : le destinataire peut alors avoir des doutes et ne pas cliquer sur ces liens. Une attaque par injection réseau a lieu de façon invisible, pendant que la personne ciblée consulte Internet normalement.

L’installation d’un VPN sur votre téléphone peut être une bonne idée : l’ensemble du trafic entrant et sortant serait alors chiffré et ne pourrait donc pas être manipulé. Il convient toutefois de choisir un bon service. De nombreuses applications VPN malveillantes ou suspectes sont disponibles dans les boutiques d’applications iOS et Android. Ne choisissez pas celles qui sont gratuites, car elles risquent davantage de monnayer les données que vous générez et de se montrer moins respectueuses de votre droit au respect de la vie privée.

Veillez également à bien installer les mises à jour de votre appareil ainsi que des applications qui y sont installées. Les éditeurs de logiciels publient régulièrement des correctifs ; si vous tardez à les installer, vous risquez d’exposer inutilement votre appareil à une attaque, même de la part d’individus qui profiteront simplement de l’occasion sans être véritablement organisés.

De récents rapports publiés par des chercheurs dans le domaine de la sécurité donnent à entendre que même les auteurs d’attaques les plus sophistiquées ont de plus en plus de mal à conserver un accès permanent à un appareil mobile dont une vulnérabilité a été exploitée. Un redémarrage de l’appareil pourrait désactiver l’infection. Vous pouvez donc, à titre de précaution, éteindre et rallumer votre smartphone de temps en temps. 

Conclusion

En octobre 2019, Amnesty International a rassemblé des éléments attestant de l’utilisation d’outils de NSO Group pour cibler deux défenseurs des droits humains marocains. L’un d’entre eux, Maati Monjib, a également été victime d’attaques par injection réseau, que l’organisation a également soupçonnées d’avoir été liées aux outils de l’entreprise. Dans le présent rapport, Amnesty International expose en détail la surveillance ciblée illégale visant un autre militant marocain, Omar Radi, et met notamment en évidence les solides données techniques qui permettent d’établir un lien entre les outils de NSO Group et les attaques le ciblant.

Ces attaques visant les défenseur·e·s des droits humains s’inscrivent dans le cadre d’une répression croissante de l’opposition pacifique au Maroc. Le fait que les outils développés par NSO Group continuent d’être détournés de leur utilisation légitime dans le pays témoigne de l’incapacité des autorités marocaines à respecter et protéger les droits à la liberté d’expression, d’association et de réunion pacifique.

Qui plus est, le fait que NSO Group ait persisté à ne pas agir en réponse à l’utilisation de ses outils à mauvais escient par les autorités marocaines révèle que l’entreprise a manqué aux obligations relatives aux droits humains qui lui incombent de ne pas favoriser la commission de violations des droits humains et qu’elle n’a pas fait preuve de la diligence requise en matière de droits humains pour atténuer le préjudice causé. 

Recommandations

Les autorités marocaines et les pays exportateurs doivent mettre en place un cadre réglementaire de protection des droits humains adapté pour encadrer les activités de surveillance. Tant que ce cadre réglementaire n’aura pas été mis en place, un moratoire sur la vente, le transfert et l’utilisation des équipements de surveillance doit être instauré, conformément à la recommandation du rapporteur spécial des Nations unies sur la liberté d’expression, David Kaye. Ce cadre de protection des droits humains devra au minimum inclure les garanties ci-après, qui font office ici de recommandations :

Aux autorités marocaines :

  • rendre publiques les informations afférentes aux contrats qui ont été, sont ou seront conclus avec des entreprises privées de surveillance, y compris ceux qui ont été signés avec NSO Group ;
  • cesser toute activité de surveillance illégale des journalistes et défenseur·e·s des droits humains en violation de leur droit au respect de la vie privée et de leur liberté d’expression ;
  • garantir la véritable application et le plein respect de l’article 24 de la Constitution marocaine et du chapitre 5 du Code de procédure pénale, qui conditionnent la conduite d’activités de surveillance numérique à l’autorisation préalable des autorités judiciaires compétentes ;
  • veiller à ce que le parquet et la Commission nationale de contrôle de la protection des données à caractère personnel mènent une enquête indépendante et efficace sur les cas de surveillance numérique ciblée illégale.

Aux États exportateurs :

  • refuser les demandes d’exportation lorsqu’il existe un risque substantiel que les produits en question servent à porter atteinte aux droits humains ;
  • veiller à ce que toutes les technologies concernées fassent l’objet d’un examen approfondi avant leur transfert.

Outre ces recommandations, NSO Group et Novalpina Capital devraient au minimum :

  • prendre de toute urgence des mesures proactives pour veiller à ne pas entraîner ni favoriser des violations des droits humains, et pour y remédier si elles se produisent. Pour s’acquitter de cette responsabilité, NSO Group est tenu de faire preuve de la diligence requise en matière de droits humains et de faire le nécessaire pour que les défenseur·e·s des droits humains du Maroc ne soient plus la cible d’une surveillance illégale ;
  • résilier ou suspendre son contrat avec les autorités marocaines ;
  • faire preuve de transparence en ce qui concerne le volume, la nature, la valeur, la destination et l’utilisateur final des transferts de technologies de surveillance.

Annexe I : réponse communiquée par NSO Group*

Nous avons bien reçu votre lettre datée du 9 juin 2020, signalant qu’un défenseur des droits humains aurait été pris pour cible par les autorités marocaines à l’aide de notre technologie. Pour des raisons de confidentialité, nous ne pouvons pas révéler si ces autorités ont, ou n’ont pas, recours à nos outils. Nous vous remercions d’avoir porté ce problème à notre attention. Conformément à sa politique en matière de droits humains, NSO Group prend très au sérieux la responsabilité qui lui incombe de respecter les droits fondamentaux et est fermement déterminé à éviter de causer, de contribuer, ou d’être directement lié à toute incidence négative sur les droits humains.

Nous sommes profondément troublés par les allégations formulées dans votre lettre ; nous allons immédiatement procéder à un examen des informations qu’elle contient et ouvrir une enquête si nécessaire. Vous fournissez certains éléments concernant la possible utilisation abusive de nos produits. Toutefois, pour une enquête approfondie, nous aurons besoin de précisions supplémentaires, telles qu’un numéro de téléphone, le nom de la personne concernée, ou un MSISDN (Mobile Station ISDN Number, le numéro de téléphone attribué à la carte SIM au format international), comme indiqué dans notre politique relative au lancement d’alerte. En l’absence de ces informations, notre enquête se trouverait fortement limitée. Si vous pouviez nous fournir une partie ou la totalité de ces informations, notre capacité à déterminer si nos produits ont été utilisés d’une manière qui contrevient à nos politiques, à tout accord commercial qui pourrait avoir été conclu, aux normes internationales ou au droit national en vigueur s’en trouverait grandement renforcée. Conformément à nos politiques, ces informations resteront strictement confidentielles et ne seront pas divulguées en dehors de ce que nécessitera une enquête approfondie.

Votre lettre soulève également certaines questions concernant les relations que NSO Group pourrait avoir avec les autorités marocaines, ainsi que sur les actions que nous avons entreprises à la suite de la publication d’un rapport d’Amnesty International portant sur une possible utilisation abusive des produits de NSO par ces autorités. Nous faisons tout notre possible pour faire preuve de la plus grande transparence lorsque des informations semblent indiquer que nos produits sont utilisés de manière non conforme. Toutefois, dans la mesure où nous développons et fournissons à des États et à des agences d’États des technologies visant à les aider dans la lutte contre le terrorisme, les infractions graves et les menaces envers la sécurité nationale, nous sommes dans l’obligation de respecter les préoccupations de ces États en matière de confidentialité. Nous joignons cependant au présent message une correspondance échangée avec le rapporteur spécial des Nations unies David Kaye, qui offre une présentation complète de la façon dont nous nous acquittons de nos obligations en matière de diligence requise relative aux droits humains, des mesures que nous sommes susceptibles de prendre dans le cadre de nos relations avec des clients privés afin d’atténuer ou de prévenir les risques d’incidence sur les droits humains, de la manière dont nous enquêtons lorsque nous recevons des informations faisant état d’une utilisation potentiellement non conforme de nos produits, et de l’éventail des réponses que nous apportons lorsqu’une telle utilisation est avérée. Nous pouvons vous garantir que nous avons suivi la même démarche à la suite de votre précédent rapport, bien que nous ne puissions fournir davantage de précisions en raison des questions de confidentialité précédemment citées.

Nous espérons sincèrement que vous pourrez nous apporter les informations complémentaires mentionnées plus haut, afin de nous permettre d’enquêter sur les allégations troublantes contenues dans votre lettre.

Cordialement,

Chaim Gelfand, Conseiller

Responsable du service Conformité

NSO Group

* Traduit depuis l’anglais par Amnesty International

Annexe technique

L’historique de navigation Safari de l’appareil d’Omar Radi a été supprimé début octobre 2019, ce qui a effacé toutes les données relatives à d’anciennes redirections du navigateur à partir de free247downloads[.]com. Cependant, des traces supplémentaires laissées sur l’appareil ont permis à Amnesty International de connaître la date et l’heure des attaques par injection réseau le visant.

Preuves numériques des attaques par injection réseau

Le 27 janvier 2019, un dossier associé au domaine suivant a été créé :

private/var/mobile/Containers/Data/Application/4FC7C4F8-602A-4EA0-AF28-3264694AB07B/SystemData/com.apple.SafariViewService/Library/WebKit/WebsiteData/https_skapth05c.get1tn0w.free247downloads.com_30874/

Il est intéressant de noter que ce dossier sert d’espace de stockage à l’application mobile Twitter pour iOS. Le nom du dossier, com.apple.SafariViewService, fait référence à un service du même nom fourni par le système d’exploitation qui permet aux autres applications d’utiliser le moteur du navigateur Safari pour afficher facilement un aperçu des sites Web depuis l’application. Amnesty International pense que la présence d’un dossier WebsiteData pour le domaine malveillant free247downloads[.]com atteste d’une attaque par injection réseau qui s’est produite alors qu’Omar Radi utilisait l’application Twitter et que, après qu’il a cliqué sur un lien conduisant vers un site HTTP non chiffré, son téléphone a été la cible d’une tentative d’exploitation.

Le 11 février 2019, le dossier suivant a été créé :

private/var/mobile/Containers/Data/Application/AE2D9AEB-8935-408D-9499-023635ACA6E7/Library/WebKit/WebsiteData/IndexedDB/https_d9z3sz93x5ueidq3.get1tn0w.free247downloads.com_30897/

Ce dossier, situé dans l’espace de stockage des données applicatives de Safari, contient plusieurs bases de données IndexedDB vides, qui ont été créées après une visite sur le domaine malveillant. Si cette information ne figurait pas dans le précédent rapport, les recherches menées par Amnesty International sur le téléphone de Maati Monjib avaient également révélé la présence de fichiers IndexedDB similaires. L’organisation n’a pas réussi à récupérer la charge utile d’un programme malveillant (exploit), mais elle soupçonne la création de ces fichiers d’être le signe des vulnérabilités exploitées sur les téléphones d’Omar Radi et de Maati Monjib en 2019.

L’attaque par injection réseau et la tentative d’exploitation semblent avoir abouti et, quelques secondes plus tard, le fichier suivant a été modifié :

/private/var/root/Library/Preferences/com.apple.CrashReporter.plist

Le 13 septembre 2019, une autre attaque par injection réseau a abouti, des processus suspects ont été exécutés sur le téléphone et le fichier suivant a été modifié :

/private/var/mobile/Library/Preferences/com.apple.softwareupdateservicesd.plist

La valeur SUAutomaticUpdateV2Enabled a été configurée sur false, ce qui a désactivé la fonctionnalité de mise à jour automatique du téléphone, le bloquant sur une version vulnérable.

Mise hors service du serveur de noms après la transmission à NSO Group des résultats des investigations d’Amnesty International

Le serveur de noms correspondant aux sous-domaines d’injection réseau était disponible à l’adresse ns-get1tn0w.free247downloads[.]com et associé à l’adresse IP 35.180.42.148. Cette adresse IP était attribuée à un centre de données Amazon Web Service situé en France. D’après les données recueillies par Censys, cet hôte a fonctionné à partir d’octobre 2018 jusqu’à sa mise hors service, le 4 ou 5 octobre 2019 :

[{“table”:”20190929″,”ports”:[“53″],”tags”:[“dns”],”updated_at”:”2019-09-29 13:22:40″}][{“table”:”20190930″,”ports”:[“53″],”tags”:[“dns”],”updated_at”:”2019-09-29 13:22:40″}][{“table”:”20191001″,”ports”:[“53″],”tags”:[“dns”],”updated_at”:”2019-09-29 13:22:40″}][{“table”:”20191002″,”ports”:[“53″],”tags”:[“dns”],”updated_at”:”2019-09-29 13:22:40″}][{“table”:”20191003″,”ports”:[“53″],”tags”:[“dns”],”updated_at”:”2019-10-03 06:47:28″}][{“table”:”20191004″,”ports”:[“53″],”tags”:[“dns”],”updated_at”:”2019-10-03 06:47:28″}][{“table”:”20191005″,”ports”:[“53″],”tags”:[“dns”],”updated_at”:”2019-10-03 06:47:28″}][{“table”:”20191006″}]

La mise hors service est intervenue peu de temps après qu’Amnesty International a communiqué à NSO Group les conclusions de son rapport Maroc. Des défenseurs des droits humains ciblés par un logiciel espion de NSO Group le 2 octobre 2019, en amont de sa publication. Le rapport n’a été rendu public que le 10 octobre.

Configuration d’une nouvelle infrastructure après les révélations d’Amnesty International

Moins d’un mois après la publication du rapport d’Amnesty International, une nouvelle infrastructure a été configurée sur le domaine urlpush[.]net. L’organisation a découvert ultérieurement que ce domaine était impliqué dans les attaques par injection réseau qui ont visé plus récemment Omar Radi.

Le 27 janvier 2020, lors d’une visite sur un site d’actualité auquel Omar Radi avait accédé en cliquant sur un lien dans l’application Facebook, son navigateur a été piraté et redirigé en moins de 3 millisecondes vers le nouveau serveur d’exploit, ayant la même structure d’URL que celle observée précédemment en 2019 :

https://gnyjv1xltx.info8fvhgl3.urlpush[.]net:30875/zrnv5revj#074196419827987919274001548622738919835556748325946#2

Intrigué par ce comportement inhabituel, Omar Radi a réalisé une capture d’écran de son navigateur Safari alors qu’il tentait d’ouvrir le site malveillant à l’aide d’une connexion réseau 4G :

Une seconde tentative d’attaque par injection réseau et d’exploit a eu lieu le 29 janvier 2020. Elle a semble-t-il échoué, redirigeant à la place le navigateur vers le site Web d’une entreprise légitime basée en France. Amnesty International avait noté que ce même site avait été utilisé à titre de leurre dans des attaques ciblant Maati Monjib en 2019, mais qui n’avaient pas abouti.

Le serveur de noms correspondant aux sous-domaines urlpush[.]net était associé à l’adresse IP 72.105.81.177, attribuée au fournisseur d’hébergement Web Linode, qui se trouve en Allemagne.