Comment des experts traquent les dérives des logiciels de surveillance
Comment des experts traquent les dérives des logiciels de surveillance
Par Florian Reynaud
De plus en plus d’experts en cybersécurité s’intéressent aux attaques informatiques pratiquées par les gouvernements contre la société civile.
Bill Marczak n’est pas une star de cinéma ni un auteur célèbre. Pourtant, en novembre, le magazine Vanity Fair a publié un long portrait de ce jeune Américain, doctorant à l’université de Berkeley. Au cours de l’été 2016, il s’est distingué en révélant, avec plusieurs chercheurs, l’existence de Pegasus, un logiciel espion sophistiqué, capable de prendre le contrôle d’un iPhone à distance, à l’aide d’un simple lien envoyé par SMS, en exploitant des failles de sécurité. Conçu par une entreprise privée, ce logiciel avait été utilisé pour cibler un célèbre opposant au gouvernement des Emirats arabes unis, Ahmed Mansoor.
Il ne s’agissait pas vraiment d’une première pour Bill Marczak. Ce chercheur collabore depuis quelques années avec le Citizen Lab, un laboratoire canadien qui a révélé de nombreuses attaques informatiques contre la société civile, ainsi que l’existence de plusieurs entreprises produisant et vendant des logiciels de surveillance aux gouvernements.
Hacking Team, une entreprise italienne soupçonnée de vendre des outils espions au Soudan du Sud et à l’Arabie saoudite ; des responsables politiques et des chercheurs mexicains surveillés à leur insu ; des téléphones de militants tibétains piratés… Révélation après révélation, le Citizen Lab est devenu la première source d’information mondiale (et l’une des seules) sur les dérives des outils de surveillance.
Bill Marczak a noué des contacts avec la société civile au Barhein, aux Emirats Arabes Unis, et dans d’autres pays du proche orient, sur lesquels il s’est appuyé avec le Citizen Lab. « Ces gens sont souvent ciblés par le gouvernement local en raison de leur activisme », explique-t-il.
« Ils nous font régulièrement suivre des e-mails, des SMS ou n’importe quel message suspicieux. Je peux alors les regarder et voir s’ils contiennent la preuve d’une attaque ciblée destinée à les espionner. »
Un terrain encore embryonnaire
Peu d’organisations traditionnelles de défense des droits de l’homme se sont intéressées de près au sujet des menaces informatiques, mais la tendance est en train de s’inverser. « C’est une bonne tendance, parce que de plus en plus de choses se passent en ligne, et que la boîte à outils d’un activiste est désormais son ordinateur », estime Bill Marczak.
Autre figure importante de ce domaine, Claudio Guarnieri se bat sur tous les fronts. Ce jeune Berlinois, collaborateur du Citizen Lab, étudie pour Amnesty International les liens entre technologie et droits de l’homme. Il a rejoint l’ONG en juin, et il a récemment lancé – avec plusieurs experts – l’organisation Sécurité sans frontières.
Ce petit groupe se propose de venir en aide aux journalistes et aux acteurs de la société civile qui pourraient faire l’objet de cyberattaques et de tentatives d’espionnage. Pour le moment composé d’une quarantaine de bénévoles actifs, il réalise essentiellement des « tests de pénétration », afin d’ausculter la sécurité et les failles potentielles des sites de groupes de presse et d’ONG.
Le Citizen Lab a aidé de nombreux activistes à contrer les cyberattaques et les virus employés contre eux. Parfois, les personnes ciblées appellent directement à l’aide, parfois ce sont les chercheurs qui les contactent.
« Je me suis retrouvé dans des situations où, à l’aide d’un traducteur, je contactais directement des gens au téléphone pour leur expliquer qu’ils semblaient avoir été compromis et espionnés, ils raccrochaient dans la panique, puis rappelaient, complètement paranoïaques. »
Une fois ce contact établi, les chercheurs du Citizen Lab, comme les bénévoles de Sécurité sans frontières, vont d’abord aider la cible d’une attaque à éliminer tout virus, toute menace toujours présente. « La priorité est toujours de s’assurer que la victime peut travailler à nouveau en sécurité », raconte Claudio Guarnieri.
Des régimes autoritaires passés à la loupe
En plusieurs années, le Citizen Lab a publié des rapports sur des dizaines de cas. Le problème, explique Claudio Guarnieri, « est que nous savons beaucoup de choses, mais concernant une poignée de pays ». La plupart des cas étudiés par les chercheurs concernent quelques zones déjà connues pour les violations des droits de l’homme qui y sont pratiquées : Syrie, Tibet, Emirats arabes unis, Bahreïn, Ethiopie, etc.
« J’imagine qu’il pourrait y avoir tout autant de cas dans de nombreux autres pays, estime le chercheur italien. Vu la masse de travail que nous avons rien que dans ces quelques pays, cela me laisse une vision inquiétante de ce qu’il se passe dans le reste du monde. »
Un des principaux défis de ces experts est que, bien souvent, les militants des droits de l’homme ou les opposants politiques sont peu armés pour faire face à des tentatives de piratage. « Les activistes expliquent qu’ils veulent se consacrer à leur militantisme plutôt qu’à étudier la sécurité informatique », explique Bill Marczak.
Pour protéger certaines personnes vulnérables, le chercheur de Berkeley a conçu, avec le Citizen Lab, un outil nommé Himaya qui scanne les e-mails à la recherche de menaces, de pièces jointes vérolées et de tentatives de piratage. Il s’agit, pour l’instant, d’un programme utilisé par un petit nombre de personnes, qui ont accepté de s’y inscrire pour se défendre.
Des attaques presque impossibles à attribuer
La limite du travail de ces chercheurs et le plus grand défi de toute personne enquêtant sur des attaques informatiques est de savoir à qui les attribuer. Le sujet a été étudié sous toutes les coutures, et même un gouvernement peut ne pas réussir à désigner catégoriquement un acteur ou un groupe précis derrière un piratage. Claudio Guarnieri explique :
« Nous arrivons très rarement à des conclusions qui nous permettent de dire que tel gouvernement ou telle agence de renseignement est responsable d’une attaque. (…) Parfois on peut s’appuyer sur des erreurs toutes simples faites par les attaquants, et qui suggèrent leur identité : par exemple, nous avons vu un cas d’ordinateur infecté par un virus qui exfiltrait des données directement sur un serveur localisé à l’intérieur d’un ministère des affaires internes. (…) Mais ils ne sont généralement pas aussi stupides. »
Pour l’instant, le Citizen Lab n’a pas encore découvert de cas d’abus pratiqués par les gouvernements européens, alors qu’il dispose de preuves que certains pays comme l’Italie et le Luxembourg – par exemple – ont acheté des logiciels espions. Mais avec le vote de plusieurs lois faisant entrer l’usage de ces outils de surveillance dans un cadre légal (comme en France avec la loi sur le renseignement), ces questions vont continuer à prendre de l’importance, assure Claudio Guarnieri. « Dans le futur, les logiciels de surveillance vont devenir mainstream. »