Rapports

9 mars 2017 - Mis à jour le 14 mars 2017

Le commerce douteux mais lucratif de la surveillance


La surveillance du Net et des télécommunications est avant tout l’apanage des « Ennemis d’Internet » - pays les plus répressifs au monde en matière de liberté de l’information sur le Web - au nom de soi-disant « intérêts vitaux de la Nation » . À la tête du peloton, des régimes autoritaires tels que la Chine, l’Iran, la Syrie ou l’Ouzbékistan ont acquis et continuent de se procurer des technologies leur permettant de traquer les moindres faits et gestes des journalistes, des blogueurs et des internautes critiques à leur encontre.

Dans les pays dits démocratiques tels que la France, le Royaume-uni, les États-unis, lAustralie ou encore le Mexique qui recourent à la surveillance au nom d’impératifs sécuritaires, la question de la protection des sources journalistiques est posée.


Une entrée éthique d’entreprises de télécommunications sur le marché iranien est-elle possible ?


L’Iran est l’un des meilleurs exemples de pays répressif en matière de contrôle des internautes. Une cyberpolice garde en permanence un œil sur les activités en ligne des Iraniens. Ces trois dernières années, plus d’une centaine d’internautes, dont de nombreux journalistes et journalistes-citoyens, ont été arbitrairement convoqués et arrêtés et certains d’entre eux lourdement condamnés dans différentes villes du pays.


La majorité de ces journalistes, professionnels ou non, sont victimes de surveillance et de traçage, effectués au moyen de technologies dites de « surveillance licite » (Lawful Interception Management System, LIMS). Même sous le régime des Gardiens de la révolution, les technologies couvertes par cet acronyme sont utilisées de manière illégale.


Depuis l’accord historique sur le nucléaire en janvier 2015, un nombre croissant d’entreprises du secteur des télécommunications (Vodafone, Telecom Italia, AT&T et Nokia) envisagent d’investir dans le pays. La société française Orange est entrée en discussion pour se faire une place au capital de MCI, leader iranien de la téléphonie mobile aux mains des Gardiens de la révolution, en restant floue sur ses intentions : « Comme d’autres opérateurs internationaux, le groupe étudie les opportunités qui se présentent sur le marché iranien », répond la société. Selon Richard Marry, l’un des responsables de Vivaction, une autre société française aussi en « phase de redécouverte du marché », cela fait « plus de douze mois que nous allons tous les mois à Téhéran afin de rencontrer l’écosystème des télécommunications ».


« Avec un taux moyen de pénétration des téléphones portables bien supérieur à 100 % et sachant que près d’un ménage sur deux dispose d’un abonnement à Internet fixe, il est non seulement légitime de s’enquérir de la façon dont les sociétés étrangères souhaitent s’implanter dans le pays, mais il est aussi fondamental que ces compagnies fassent preuve de transparence sur les accords qu’ils ont signés ou s’apprêtent à signer avec le régime, déclare Reza Moïni, responsable du bureau Iran-Afghanistan de Reporters sans frontières. Nous ne voulons surtout pas de nouvelles affaires Nokia-Siemens et Ericsson ».


En effet, en septembre 2011, Reporters sans frontières avait dénoncé la coopération des entreprises occidentales avec le régime iranien et appelé à des sanctions internationales à leur encontre dès lors qu’il avait été avéré que les technologies ou les infrastructures qu’elles mettaient en place dans le pays permettaient au régime de surveiller et réprimer sa population.


HackingTeam et NSO : des entreprises dans l’ombre d’Ennemis d’Internet


En mars 2013, Reporters sans frontières publiait un rapport spécial sur la surveillance mettant pour la première fois en lumière une liste de cinq entreprises « mercenaires de l’ère digitale » - basées au Royaume-Uni, en Allemagne, en Italie, en France et aux États-Unis - dont les produits étaient utilisés par des pays répressifs pour commettre des violations des droits de l’Homme et de la liberté de l’information. Dans cette liste, la société milanaise HackingTeam avait été mise en cause pour la vente de technologies « offensives » de surveillance au Maroc et aux Émirats arabes unis, utilisées par ces régimes pour espionner des sites d’information et des militants des droits de l’Homme.


En juillet 2015, la société a de nouveau fait parler d’elle après le piratage de plusieurs centaines de giga de ses données, incluant notamment de nombreuses informations sur ses clients et les technologies vendues à ces derniers. Parmi eux, le Mexique serait le premier client d’HackingTeam, avec près de six millions d’euros d’achat par le pays. La liste des clients mexicains inclut le ministère de l’Intérieur, la police fédérale, l’armée, la marine, l’agence de renseignement intérieur, le bureau du procureur général, des gouvernements régionaux et même la compagnie pétrolière détenue par l’État, PEMEX.


Face à cette généralisation insidieuse de la surveillance en ligne par les autorités, en mars 2016, l’organisation de défense des droits numériques Red en Defensa de los Derechos Digitales (R3D) est montée au créneau, au nom d’un groupe de journalistes, d’activistes des droits de l’Homme et d’étudiants mexicains. Le 11 mai 2016, la 2e chambre de la Cour suprême du Mexique a refusé de remettre en cause la disposition de la loi fédérale sur les télécommunications (Federal Telecommunications Act), autorisant la rétention massive de données numériques (metadata), sans recours à un juge. Bien que la coalition R3D ait fait appel de cette décision auprès de la Cour interaméricaine des droits de l’Homme, journalistes, blogueurs et cyber-activistes demeurent aujourd’hui vulnérables aux abus du gouvernement, dont les relations commerciales avec Hacking Team illustrent clairement une volonté de surveillance massive d’Internet et des télécommunications.




Interrogés à ce sujet, les intéressés se sont défendus en invoquant la nécessité de lutter contre le terrorisme, et en rappelant qu’ils répondent aux lois des pays dans lesquels ils sont implantés, à l’image d’Hacking Team en Italie. «Ce n’est pas suffisant dans la mesure où leurs technologies continuent d’être utilisés par des régimes autoritaires, ennemis d’internet pour surveiller et emprisonner des journalistes», réagit Christophe Deloire.


« En constatant les relations commerciales entre une multitude d’organismes gouvernementaux mexicains et l’un des principaux exportateurs de technologie de surveillance, on ne peut que s’interroger sur la capacité des journalistes à enquêter de manière indépendante et à protéger leurs sources, déclare Emmanuel Colombié, responsable du bureau Amérique latine de RSF. L’opacité des autorités sur l’usage prévu de ces technologies acquises accroît cette inquiétude. Des garanties doivent être données pour en bannir l’usage systématique à l’encontre de tous les acteurs de l’information, professionnels des médias, blogueurs et défenseurs des droits. »


Le malware peut récupérer les contacts, détails et contenus des appels, des SMS, des mails, des conversations WhatsApp, Skype et même Telegram, pourtant réputée sécurisée.


Les récentes révélations impliquant la société israélienne NSO et le journaliste d’investigation mexicain Rafael Cabrera pourraient bien mettre en lumière un abus de surveillance par les autorités mexicaines. En août 2016, Citizen Lab et Lookout ont révélé l’existence d’un logiciel espion permettant de prendre le contrôle intégral des iPhones en exploitant plusieurs failles de sécurité (depuis corrigées). « Pegasus », qui serait le nom du malware, s’installerait sur le téléphone de la cible après que celle-ci a cliqué sur un lien hypertexte envoyé par sms. Le malware peut ainsi récupérer les contacts, détails et contenus des appels, des SMS, des mails, des conversations WhatsApp, Skype et même Telegram, pourtant réputée sécurisée. Ils peuvent également actionner à distance l’appareil photo de l’iPhone, son micro et savoir à tout moment où se trouve son utilisateur.


Le journaliste Rafael Cabrera, qui travaille notamment pour le site d’information aristeguinoticias.comristeguinoticias.com, a été la cible de « Pegasus » en août 2016 après avoir participé à l’enquête ayant mis à jour un scandale de corruption impliquant la famille du président mexicain Peña Nieto. D’après le New York Times,le gouvernement mexicain aurait payé 15 millions de dollars à NSO pour lancer trois projets indéfinis.



Le journaliste avait reçu plusieurs messages suspects l’invitant à se rendre dans les bureaux de la chaîne UNO TV, et « l’informant » que la présidence réfléchissait à porter plainte pour diffamation et à emprisonner les journalistes impliqués dans l’enquête sur la « Maison Blanche » mexicaine. NSO s’était défendu en affirmant que les logiciels que l’entreprise vendait étaient uniquement utilisés pour de la surveillance légale. Pourtant, au moment de ces révélations, Citizen Lab exposait une tentative de surveillance similaire sur le blogueur émirati, administrateur du forum de débat démocratique Al-Hewa, Ahmed Mansoor. Les 10 et 11 août 2016, le blogueur a reçu deux fois le même sms sur son iPhone 6 l’incitant à cliquer sur un lien pour en apprendre plus sur les exactions du régime des Émirats. Analysé par le Citizen Lab, ce SMS a permis de remonter la trace de NSO et de son logiciel « Pegasus ».

"NSO contribue à rendre le monde plus sûr en fournissant aux organismes gouvernementaux autorisés des technologies qui les aident à combattre la terreur et la criminalité. Les clients peuvent utiliser nos produit exclusivement pour l'investigation et la prévention du crime et de la terreur. L'utilisation éthique et légale de ses produits par ses clients est d'une importance capitale pour l'entreprise. En cas de violation présumée du contrat, la société prendra les mesures appropriées avec le client en question", des affirmations que RSF n'a pas été en mesure de vérifier.

>> III - DES RÉGULATIONS INTERNATIONALES EN PANNE

I <<