Le rédacteur régional de l'IFEX pour le Moyen-Orient et l'Afrique du Nord explique comment des outils de surveillance numérique de plus en plus sophistiqués sont vendus et déployés par les États autoritaires de la région pour cibler les défenseurs des droits humains, et comment la société civile défend le droit à la vie privée et à la liberté d'expression numérique.
Thèmes : Sécurité et justice ; Espace civique ; Droit à l’information ; Expression en ligne ; Diversité, équité et inclusion
Préambule : le contexte
Les agences de sécurité de toute la région Moyen-Orient Afrique du nord ont une longue et notoire tradition de traque de leurs citoyens et de leur libre expression. Cependant, la prolifération de l’utilisation des médias sociaux et de la technologie, stimulée par les soulèvements arabes de 2011, ainsi que la prise de conscience croissante parmi les militants de l’utilisation d’outils de cryptage et de contournement pour déjouer la surveillance de l’État, ont vu des gouvernements autoritaires investir massivement dans l’importation de technologies et d’expertise étrangères au cours des dernières années – un effort concerté pour améliorer leurs capacités de surveillance. À une époque où les smartphones (téléphones intelligents) ont contribué à connecter la majeure partie de la population de la région, les appareils dans nos poches ont également exposé ceux qui critiquent les autorités répressives de la région à un large éventail de menaces numériques croissantes.
Dans ce contexte, l’industrie mondiale des technologies de surveillance, florissante, a fourni une offre croissante aux acheteurs de la région, commercialisant souvent leurs produits sous prétexte de permettre aux gouvernements de mieux contrer les menaces terroristes. Des dizaines d’entreprises, dont les groupes israéliens NSO Group et Cellebrite, l’allemand Finfisher et l’italien Hacking Team, ont vendu des outils d’espionnage numérique aux pires prédateurs de la vie privée et de la liberté d’expression de la région, dans un contexte d’intensification de la répression des voix discordantes depuis les soulèvements.
A titre d’illustration, au cours des cinq années qui ont suivi les manifestations de 2011, la société d’armement britannique BAE Systems a vendu sa technologie de surveillance Evident à l’Arabie saoudite, aux Émirats arabes unis, au Qatar, à Oman, au Maroc et à l’Algérie, dotant ces États d’un outil qui a collecté et analysé des millions de courriels et messages.
La justice et la redevabilité ont mis du temps à arriver. Ce n’est que récemment que des dirigeants de deux entreprises technologiques françaises ont été inculpés de « complicité d’actes de torture » pour avoir vendu à la Libye et à l’Égypte des outils de surveillance d’Internet qui ont été utilisés pour traquer des personnalités de l’opposition. Elles ont ensuite été détenues et torturées, selon la Fédération internationale des droits de l’homme (FIDH).
Une partie du problème est que ces ventes ont lieu avec peu de transparence ou de considérations relatives aux droits humains dès le début, et ne sont révélées que grâce au journalisme d’investigation et à des recherches vigoureuses menées par des organisations comme The Citizen Lab qui documentent leurs utilisations néfastes par des États autoritaires. Si cela restreint naturellement l’accès aux informations les plus récentes sur les dispositifs numériques des États autoritaires de la région, ce qui est devenu une évidence, c’est qu’entre-temps, les outils vendus continuent d’évoluer.
« Auparavant c’était ‘les murs ont des oreilles’, mais maintenant c’est ‘les smartphones ont des oreilles‘ », a déclaré la militante saoudienne des droits des femmes Manal al-Sharif à BBC en 2017. Aujourd’hui, le paysage ténébreux de la surveillance numérique a produit des outils qui démontrent une sophistication croissante de leur capacité à surveiller, enregistrer et essentiellement convertir des appareils de communication en armes accusatrices contre leurs cibles.
Partie I : des espions et des cibles
La surveillance étatique dans la région – en plein essor – a eu un impact négatif et profond sur la liberté d’expression et l’accès à l’information. Les militants et les journalistes sont confrontés à des risques accrus pour leur travail, leur réputation, leurs sources et leurs contacts, y compris les membres de leur famille. Leur capacité à rapporter et à relayer les informations de terrain sur lesquelles s’appuient à la fois les habitants de la région et les organisations internationales a été fortement entravée, limitant l’accès aux informations en temps réel. Les internautes sont également susceptibles de s’autocensurer davantage lorsqu’ils voient comment d’autres ont été ciblés pour leur contenu numérique et leurs communications.
Les données recueillies à partir d’appareils surveillés ont également été utilisées pour cibler des militants, des journalistes et des défenseurs des droits humains par le biais de campagnes de doxxing (divulgation de données personnelles) et de diffamation en ligne qui ont été particulièrement préjudiciables aux groupes vulnérables de la région, notamment les femmes et la communauté LGBTQI+. Le téléphone de la journaliste d’Al Jazeera, Ghada Oueiss, a été piraté, ce qui a entraîné la publication sur le net de ses photos et vidéos privées et d’incessantes attaques sexistes de la part de trolls saoudiens.
Au cours de la décennie qui a suivi les soulèvements populaires de 2011, les autorités ont également de plus en plus utilisé des outils de surveillance numérique pour soutenir les violations des droits humains et les persécutions judiciaires sans fondements, ciblant leurs concitoyens de la manière la plus vicieuse. À Bahreïn, sous la torture, des militants détenus lors des manifestations de 2011 se sont vu montrer des transcriptions de leurs messages privés et ont été invités à les expliquer. Au Maroc, les journalistes Omar Radi et Maati Monjib ont été identifiés comme cibles de logiciels espions par Amnesty International et ont été condamnés à des peines de prison sur la base d’accusations inventées de toutes pièces.
Dans la région, les EAU et l’Arabie saoudite se sont imposés comme les leaders dans le déploiement de ces technologies pour faire taire leurs populations. Des militants comme la défenseuse bahreïnite des droits humains Maryam Al-Khawaja ont également souligné que les accords de normalisation entre les Etats du Golfe et Israël risquaient d’aggraver la situation des militants du Golfe, arguant que « l’échange de logiciels espions et de technologies de surveillance se déroulera de manière encore plus fluide.»
Emirats Arabes Unis (EAU) : une oasis pour les cyber-mercenaires
En peu de temps, les Émirats arabes unis ont construit une infrastructure de surveillance locale stupéfiante. Une enquête de Reuters en 2019 a révélé comment d’anciens agents de l’Agence de sécurité nationale américaine ont aidé les Émirats arabes unis à lancer, en 2014, des opérations de piratage baptisées Project Raven. Ces opérations ont utilisé divers cyberoutils pour surveiller les opposants des Émirats arabes unis, notamment Karma, un logiciel espion sophistiqué qui, entre 2016 et 2017, a piraté les iPhones de centaines d’utilisateurs. Les cibles comprenaient l’émir du Qatar, un haut responsable turc, la militante des droits humains yéménite et lauréate du prix Nobel de la paix Tawakkol Karman, et Nadia Mansoor, épouse d’Ahmed Mansoor, militant des droits humains des Émirats arabes unis emprisonné.
Les opérations de cyber-espionnage du projet Raven ont été reprises par la société de cybersécurité nationale des Émirats arabes unis, DarkMatter Group. L’ Electronic Frontier Foundation l’a qualifiée de « compagnie de cybermercenaire » car elle a supervisé des opérations de piratage infâmes dans le monde entier, soutenue par son recrutement mondial de pirates informatiques. Selon des experts en sécurité, le groupe est probablement à l’origine de ToTok, l’application de messages éphémères aux Emirats que le New York Times a révélé être un logiciel espion utilisé pour suivre les conversations, les mouvements, les sons et les images sur les appareils de ses utilisateurs.
L’éminent défenseur des droits humains émirati Ahmed Mansoor, qui purge actuellement une peine de 10 ans de prison pour son expression en ligne, a été abondamment pris pour cible par des logiciels espions. Son cas illustre à quel point les autorités émiraties ont déployé une panoplie de cyberoutils venant du monde entier. Selon les recherches de Citizen Lab, Mansoor a été ciblé par le logiciel espion FinSpy de FinFisher en 2011, le système de contrôle à distance de Hacking Team en 2012, ainsi que le logiciel espion Pegasus de NSO Group en 2016.
Arabie saoudite : une surveillance meurtrière
De la même manière, l’infrastructure de surveillance numérique de l’Arabie saoudite a fait l’objet d’investissements massifs au cours de la dernière décennie, avec une batterie de cyberoutils importés et des cyber-experts étrangers employés pour construire l’une des surveillances d’Etat la plus menaçante de la région.
Dirigé par le conseiller de Mohammad Bin Salman (MBS), Saud al-Qahtani, le centre antiterroriste de la Cour royale à Riyad aurait été responsable de certaines des opérations de cyber espionnage les plus notoires. Au cours de la dernière décennie, le cyberarsenal du Royaume aurait été renforcé par des outils de la société de piratage italienne Hacking Team, du groupe israélien NSO et de DarkMatter des Émirats arabes unis.
Dans un rapport de juin 2014, les chercheurs de Citizen Lab avaient identifié un logiciel de surveillance malveillant de chez Hacking Team qui ciblait les citoyens de la ville de Qatif qui protestaient contre les politiques gouvernementales et la répression de l’État. Le logiciel espion se présentait sous la forme d’une version modifiée de l’application d’actualités locales, Qatif Today,. Elle permettait d’accéder aux e-mails, aux messages texte, aux comptes Facebook, Viber, Skype ou WhatsApp, ainsi qu’aux contacts et à l’historique des appels des téléphones sur lesquels il avait été installé.
En 2018, Citizen Lab a documenté la surveillance de l’éminent militant politique saoudien résidant au Canada, Omar Abdulaziz. Son téléphone a été piraté avec le logiciel espion Pegasus de NSO. En tant qu’associé du journaliste saoudien Jamal Khashoggi, le téléphone d’Abdulaziz contenait des échanges privés sur Whatsapp entre les deux critiques du régime, y compris leur projet de lancer un réseau d’activisme sur les réseaux sociaux. Citizen Lab a souligné que cette information était le mobile principal de l’assassinat brutal de Khashoggi au consulat saoudien d’Istanbul des mois après ce piratage.
Des dizaines de journalistes d’Al-Jazeera, ainsi qu’un journaliste de la chaîne londonienne AlAraby TV, ont été les cibles d’une opération de cyber espionnage liée à l’Arabie saoudite et aux Émirats arabes unis. Les logiciels malveillants ont infecté les téléphones de 36 journalistes et professionnels des médias du réseau qatari Al Jazeera en 2020. Opération que Citizen Lab a qualifié de « plus grande concentration de piratages téléphoniques ciblant une seule organisation ».
Pegasus démasqué
Des experts en sécurité numérique et des organisations de la société civile ont à plusieurs reprises tiré la sonnette d’alarme au sujet de Pegasus, un logiciel espion de niveau militaire de NSO Group, et de son invasion sophistiquée des smartphones, sans clic, qui permet aux autorités de contrôler les appareils infectés sans l’interaction de leur utilisateur. La société NSO Group est restée inébranlable dans ses démentis mais les enquêtes récentes menées par Forbidden Stories, l’association sans but lucratif de journalisme d’investigation basée à Paris, et un consortium de 17 médias ont réussi à révéler toute l’étendue et la portée mondiale de ces attaques.
Surnommé « Projet Pegasus », le groupe a mené une enquête très fouillée sur plus de 50 000 personnes dont les numéros de téléphone ont été ciblés par le sinistre logiciel espion aux mains de clients liés à des gouvernements. Parmi eux figurent des prédateurs régionaux comme le Maroc, l’Arabie saoudite, les Émirats arabes unis et Bahreïn.
Dans la région, les personnes espionnées allaient de la famille de Jamal Khashoggi et de sa fiancée Hatice Cengiz à la journaliste Roula Khalaf, qui est devenue, l’année dernière, la première femme rédactrice en chef du Financial Times. Wadah Khanfar, l’ancien directeur général d’Al Jazeera, figurait également sur la liste, tout comme les journalistes marocains Omar Radi, Hicham Mansouri et Taoufik Bouachrine. Dans ce qui est une ironique démonstration des dérapages incontrôlables d’un État de surveillance, les enquêtes ont révélé que le roi Mohammed VI pourrait également avoir été surveillé par son propre appareil de sécurité au moyen du logiciel espion.
À la suite de ces révélations, Amazon a annoncé qu’il fermait les services Web et les comptes liés à NSO Group. Le gouvernement israélien a déclaré qu’il mettrait sur pieds un groupe de travail pour examiner si les politiques du pays, qui ont permis l’exportation et le déploiement incontrôlés de ces cyber armes en premier lieu, avaient besoin d’une réforme.
Sans aucun doute, l’enquête a contribué à dissiper le brouillard qui régnait sur le champ de bataille de la surveillance numérique. Elle a crédibilisé sa définition en tant que problème de sécurité nationale au niveau mondial, et conforte les efforts de la société civile pour endiguer la marée montante de ces cyber armes dans la région.
Partie II : Au-delà du panoptique
La société civile riposte.
Alors que la répression dans la région Moyen-Orient et Afrique du Nord se poursuit sans relâche, les gouvernements des démocraties occidentales devraient prendre des mesures contre les entreprises qui contribuent à une telle répression. Les groupes de défense des droits ont appelé à plusieurs reprises les gouvernements de l’UE, des États-Unis et du Canada à imposer des contrôles sur les exportations d’entreprises de technologie d’espionnage et à empêcher ces acteurs d’exporter des technologies qui facilitent la censure, le blocage et l’espionnage par les gouvernements répressifs de la région.
Dans l’UE, de nouvelles mesures règlementaires récemment adoptées sur les exportations de technologies de surveillance à double usage venant des entreprises européennes ont été bien accueillies par les groupes de défense des droits. Ces derniers ont toutefois également exprimé leur déception quant au fait que le texte législatif n’incluait pas de conditions plus claires et plus strictes imposant aux États membres de l’UE et aux entreprises exportatrices de mettre en œuvre les nouvelles règles, ni de mesures disciplinaires pour les membres enfreignant la nouvelle directive.
Pendant ce temps, des experts de l’ONU et des groupes de défense des droits ont appelé à un moratoire sur l’achat, la vente et le transfert d’outils de surveillance à des États autoritaires, soulignant la nécessité d’établir un cadre réglementaire pour assurer le contrôle nécessaire.
Dans la bataille pour une meilleure réglementation, les demandes de transparence et de mécanismes de redevabilité ont été essentielles. Aux États-Unis, l’enquête de Reuters sur le projet Raven a conduit à une nouvelle législation exigeant que le département d’État américain divulgue la manière dont il contrôle la vente de cyberoutils et les mesures prises contre les entreprises américaines qui enfreignent les règles.
En 2018, Omar Abdulaziz a déposé une plainte contre le groupe israélien NSO pour avoir infecté son téléphone, arguant que le piratage « a contribué de manière significative à la décision (saoudienne) d’assassiner M. Khashoggi ». La société fait également face à un procès du dissident et critique acerbe saoudien basé au Royaume-Uni, Ghanem Almasarir, ainsi qu’à une bataille juridique lancée par Facebook devant un tribunal américain et soutenue par d’autres géants de la technologie. Pendant ce temps, en Israël, l’avocat Eitay Mack a engagé des procédures juridiques pour tenir les entreprises technologiques NSO et Cellebrite redevables des exportations de leurs outils de cyber espionnage.
En décembre 2020, la journaliste piratée Ghada Oueiss a également déposé une plainte devant un tribunal de Floride accusant le prince héritier saoudien Mohammed bin Salman, le prince héritier d’Abou Dhabi Mohammed bin Zayed, DarkMatter, NSO et plusieurs titulaires de comptes de réseaux sociaux américains d’être responsables des piratages et fuites dont elle a fait l’objet.
Cette liste croissante d’actions en justice lancées devant des tribunaux en dehors de la région est vitale si nous voulons exposer le fonctionnement interne de ces opérations et apporter de la transparence à un processus clandestin – un processus où il a été difficile de suivre les outils vendus et les utilisateurs qui en abusent pour violer les droits humains.
Sur ce front, l’action collective de la société civile est essentielle. Les groupes de défense des droits numériques intensifient leurs efforts pour tenir les sociétés de surveillance responsables de leurs exportations d’outils d’espionnage. Les organisations de la société civile ont contesté l’intention de Cellebrite d’entrer en bourse sur le Nasdaq, soulignant comment la vente des produits de l’entreprise à des régimes répressifs comme l’Arabie saoudite avait permis « des détentions, des poursuites et le harcèlement de journalistes, de militants des droits civiques, de dissidents et de minorités à travers le monde. »
Le projet de Google d’établir un de ses services régionaux de cloud en Arabie saoudite a également fait l’objet d’une levée de bouclier collective. Les groupes de défense des droits ont souligné les antécédents du pays en matière de répression, de cyber-espionnage et d’ « utilisation de logiciels de cybersurveillance pour espionner les dissidents » comme des raisons suffisantes pour abandonner ce projet.
Le groupe de défense des droits numériques Social Media Exchange (SMEX) affirme que l’absence d’un cadre solide de protection des données en Arabie saoudite a également facilité les menaces contre la vie privée numérique des utilisateurs. Dans l’ensemble de la région, la nécessité de renforcer les lois insuffisantes sur la protection des données et la confidentialité devient vitale pour freiner la surveillance numérique, et selon les recherches de SMEX, de plus en plus pertinente dans le contexte de gouvernements déployant une myriade d’applications de traçage de COVID-19 pendant la pandémie.
Plusieurs organisations de droits humains et de droits numériques de la région se sont également réunies pour former la MENA Coalition to Combat Digital Surveillance. LCs groupes ont appelé à mettre fin à la vente d’outils de surveillance numérique aux gouvernements répressifs de la région, et veulent lutter pour un Internet sûr et ouvert qui protège « les défenseurs des droits humains, les journalistes et les internautes des regards indiscrets des gouvernements ».
Alors que les technologies de surveillance numérique continuent d’évoluer rapidement dans leur portée et que leurs vendeurs et acheteurs continuent de fonctionner avec peu de redevabilité, nous assisterons probablement à des appels croissants au sein de la communauté internationale pour réglementer les exportations de ces outils, à une prise de conscience croissante parmi les utilisateurs de la région des méthodes pour se protéger, ainsi qu’à des demandes pour une protection des données et des droits à la vie privée plus stricts.
Mais les efforts pour freiner cette tendance dangereuse dépendront en grande partie de la capacité des organisations de droits numériques et des chercheurs indépendants de la région à mener des recherches techniques opportunes et sans restriction. Leur travail ne permet pas seulement de faire la lumière sur un marché de la surveillance manquant de transparence, il soutient également les efforts de plaidoyer pour apporter des changements règlementaires substantiels et de meilleures protections juridiques sur le front régional et international.
IFEX favorise le changement grâce à un réseau diversifié et informé basé sur des organisations locales solides, des liens étroits entre ses membres et des relations stratégiques avec des partenaires externes. Les trois piliers de notre approche pour promouvoir et défendre le droit à la liberté d’expression et d’information sont : garantir le droit à l’information, constituer et protéger un espace civique, améliorer la sécurité et la justice.