Cet été, le monde a été révolté, à juste titre, par les attaques systématiques visant des militant·e·s des droits humains, des journalistes et des avocat·e·s, révélées par le Projet Pegasus. Ces enquêtes, pour lesquelles le Forbidden Stories Consortium (auquel Amnesty International a apporté sa participation technique) a récemment reçu le prix Daphne Caruana Galizia du Parlement européen, nous ont clairement montré les dangers et les préjudices auxquels sont exposées les personnes illégalement prises pour cible. Ces enquêtes ont aussi illustré les conséquences extrêmement déstabilisatrices pour les droits humains à l’échelle mondiale et pour la sécurité de l’environnement numérique de manière générale.
NSO Group est une entreprise parmi d’autres. Il s’agit d’un secteur dangereux qui opère depuis trop longtemps à la limite de la légalité. Il est absolument urgent que soient renforcés la réglementation du secteur de la surveillance digitale, le respect de l’obligation de rendre des comptes pour les violations des droits humains et atteintes à ces droits, et le contrôle de ce secteur très opaque.
Le 26 octobre 2021, nous avons eu l’occasion de discuter ce sujet lors d’une rencontre en ligne avec trois expert·e·s :
Maati Monjib, défenseur des droits humains marocain et ancien prisonnier de conscience, qui a été soumis à une surveillance numérique illégale depuis au moins 2017. Au début de cette année, les sympathisant·e·s d’Amnesty au Luxembourg se sont mobilisé·e·s en signant notre pétition pour le libérer.
Antoniya Argirova, responsable plaidoyer de l’ASTM (Action Solidarité Tiers Monde) et co-coordinatrice de l’Initiative pour un devoir de vigilance au Luxembourg.
Etienne Maynier, expert technologiste dans le programme de recherche sur la Technologie mené par Amnesty International (« Amnesty Tech »). Son domaine d’expertise est plus précisément l’analyse des attaques informatiques ciblant des défenseur·e·s des droits humains.
L’informatique à la défense des droits humains
Etienne a commencé son intervention en contextualisant le développement des enquêtes par rapport à la cybersurveillance : « Ça fait une dizaine d’années qu’il y a des cas très avancés de surveillance : le bureau du Dalai Lama a été espionné par des agences chinoises ; en Ouzbékistan des adresses e-mail ont été piratées pour mettre des défenseur·e·s sous pression… La question de la surveillance s’est très vite imposée comme un sujet de recherche important pour les organisations de défense des droits humains. »
Amnesty International a donc créé le programme « Amnesty Tech », basé à Berlin, qui s’occupe aussi de la surveillance de masse comme celle de la NSA, révélée par Edward Snowden par exemple, et des questions de la surveillance et big data par des entreprises comme Google et Facebook.
L’équipe d’Etienne est spécialisée dans le piratage et l’espionnage qui cible les défenseur·e·s des droits humains – c’est-à dire une utilisation des technologies d’espionnage clairement illégale. Etienne est informaticien dans un laboratoire technique qui est en contact avec un réseau mondial pour mener des enquêtes.
« Il faut savoir que les attaques numériques laissent des traces techniques. Il faut que le programme d’espionnage communique avec un serveur et nous pouvons analyser ces traces. Cela nous permet aussi de lier les attaques entre elles », a expliqué Etienne. « La question intéressante pour nous : qui est derrière ces attaques ? Nos analyses ont montré que ce ne sont pas des technologies des États mais des logiciels achetés à des entreprises. »
Une de ces entreprises est NSO Group, entreprise sur laquelle Amnesty International a publié de nombreux rapports. Elle était notamment le sujet du Pegasus Project. Toutefois l’industrie de la surveillance se développe vite et il y a beaucoup d’autres entreprises dans ce secteur.
« Nous avons trouvé des attaques datant de 2016. En 2018, nous avons même découvert qu’un membre du staff d’Amnesty avait été tracé avec le logiciel Pegasus de NSO Group. Petit à petit, nous avons ajouté des enquêtes, notamment au Maroc, où nous avons aussi analysé le téléphone de Maati. »
Les analyses ont montré une nouveauté, a expliqué Etienne : « Il y a 4 ou 5 ans, les attaques se faisaient contre les ordinateurs, c’était typiquement des e-mails avec un lien infecté. Mais maintenant les téléphones sont pris pour cible ».
Une fois que le logiciel est installé il a accès à tout, il a même la possibilité d’enregistrer avec la caméra ou le micro et de tracer position. Nous avons le téléphone en permanence dans la poche, c’est donc vraiment très intrusif.
Etienne Maynier
Les nouveaux moyens d’espionnage ont rendu nécessaires des nouvelles méthodes d’analyse pour chercher des traces d’espionnage sur les téléphones, a déclaré Etienne : « Pour le Projet Pegasus nous avons analysé 67 téléphones et trouvé des traces sur 37 entre eux, c’est-à-dire que nous avons prouvé que les téléphones de 37 personnes ont été infectés ou piratés par le logiciel de NSO Goup. Ce n’est pas toujours mis en avant dans les médias, car le contexte et les histoires des victimes sont très importants, mais c’est quand même intéressant de savoir que la réalisation de ce projet a été possible uniquement car une nouvelle méthode d’analyse a été développée. »
C’est dans un environnement déjà très difficile que la surveillance digitale a lieu.
Etienne Maynier
Un point qu’Etienne souhaite souligner, c’est dans un environnement déjà très difficile que la surveillance digitale a lieu: « Les attaques viennent généralement des pays où la répression de la société civile est déjà répandue, comme en Hongrie ou au Maroc. Un autre exemple est le meurtre du journaliste saoudien Jamal Khashoggi – nous savons que des gens proches de lui ont été touchés par la surveillance avec le logiciel Pegasus. »
La conclusion d’Etienne est très claire : « NSO dit lutter contre le terrorisme mais la surveillance illégitime est extrêmement courante. Malgré les nombreuses alertes et rapports d’Amnesty et d’autres organisations, NSO ne prend aucune mesure sérieuse pour changer. Ce ne sont donc pas quelques erreurs. C’est un système complètement hors de contrôle qui génère beaucoup de profit avec son fonctionnement actuel. Le problème central est le manque de législation, celle en place n’est pas efficace. Face à l’ampleur du problème, il faut trouver des solutions internationales pour arrêter ces abus. »
Entre temps, Amnesty Tech va continuer la recherche et améliorer les méthodes d’analyses pour révéler ces abus. Grâce à son expertise technique, l’équipe soutient également des défenseur·e·s des droits humains afin de les protéger de la surveillance.
Nous demandons :
- De mettre en pause temporairement les ventes, transferts et usages des technologies de surveillance à travers le monde jusqu’à ce qu’un cadre réglementaire approprié en matière de droits humains soit mis en œuvre.
- De veiller à ce que ces outils ne soient pas utilisés pour cibler illégalement les défenseur·e·s des droits humains et la société civile.
Surveillé et diffamé : témoignage de Maati Monjib
Maati Monjib est professeur d’histoire politique à l’université, journaliste et défenseur des droits humains franco-marocain. Dans le passé, il a déjà dû quitter le Maroc pendant 8 ans pour des raisons de sécurité. Il est retourné dans son pays il y a 20 ans, et a ensuite de nouveau été pris pour cible.
« Déjà en 2008 et 2009 j’ai soupçonné de l’espionnage. Je me suis rendu compte qu’il y avait de plus en plus d’informations sur moi dans la presse. Il faut savoir qu’une grande partie des médias est contrôlée par l’État, peut-être 80 pourcents. A partir de 2013, après la régression du printemps arabe, j’étais sûr d’être surveillé, j’ai commencé à être diffamé de plus en plus sur la base d’informations complètement biaisées. Des faits ont été déformés pour diffamer mon honneur familial et financier »
En 2019, Amnesty International a déjà prouvé que l’iPhone de Maati a été surveillé. À l’époque, il n’y a pas eu de réaction du Maroc, juste indirectement dans la presse : si son téléphone avait été infecté, ce serait parce qu’il regarderait des sites porno.
Aujourd’hui, il suppose que l’Etat l’espionne encore avec d’autres moyens : « Je suis à 90 pourcents sûr que suis encore surveillé, car il y a des choses dont je ne parle qu’à la maison qui sortent dans les médias – bien sûr complètement biaisées. Par exemple : j’ai eu une conversation avec un étudiant sur des études à l’étranger et dans la presse j’ai lu ensuite que je participerais au trafic d’êtres humains. »
Maati sait bien pourquoi l’Etat le surveille, il a reçu des menaces très directes pour qu’il arrête d’écrire et d’attaquer le pouvoir, explique-t-il : « Ils m’ont menacé de diffamation : si jamais vous n’arrêtez pas on balance vos secrets financiers et sexuels. Je leur ai dit : sortez-les si vous avez quelque chose. Pendant un an et demi, ce n’était que des menaces au conditionnel, mais ensuite un ‘dernier avertissement’ est paru à la une dans un journal. »
2020, deux jours avant le nouvel an, Maati est arrêté – selon lui la date n’était pas une coïncidence : « J’ai un ami qui a été arrêté juste avant la fin du Ramadan. Les personnes connues sont souvent arrêtées avant les grandes fêtes quand la presse est occupée de parler de ces grandes dates. C’est un moyen pour nous faire oublier. »
Je n’ai pas baissé les bras
Maati Monjib
Maati faisait l’objet d’une nouvelle enquête depuis le 7 octobre 2020, des accusations de blanchiment de capitaux ayant été portées contre lui et des membres de sa famille. Il était considéré comme prisonnier d’opinion par Amnesty. Il a été libéré à titre provisoire le 23 mars, après avoir tenu une grève de la faim malgré ses problèmes médicaux préexistants, mais les poursuites lancées contre lui n’ont pas été abandonnées. Aujourd’hui, sa liberté reste limitée, il ne peut pas quitter le Maroc et rendre visite à sa famille en France ni se soigner à l’étranger. En dépit de toutes ses mauvaises expériences et les circonstances difficiles, il reste déterminé : « Je n’ai pas baissé les bras : je n’ai pas arrêté quand ils me l’ont demandé, j’ai continué mon travail normalement. »
Besoin d’une législation claire et ferme pour contrôler la surveillance digitale
Antoniya Argirova a complété la soirée avec une intervention sur des questions légales. La co-coordinatrice de l’Initiative pour un devoir de vigilance au Luxembourg a expliqué que la coalition, dont Amnesty International Luxembourg est membre, fait campagne depuis 2018 pour une obligation de contrôle pour les entreprises. On parle aussi de la diligence raisonnable, c’est-à-dire de permettre aux entreprises de prévenir de la manière dont elles traitent sur les droits humains. Le respect des droits humains découle des Principes directeurs relatifs aux entreprises et aux droits de l’homme (Nations Unies) et est applicable à toutes les entreprises et tous les secteurs. Dans le cas de NSO Group, il y a un intérêt très clair de s’y intéresser au Luxembourg, explique Antoniya :
« Nous avons commencé à nous pencher sur le cas de NSO Group en 2019, après la publication des rapports sur leur logiciel Pegasus dans la presse. Nous nous sommes rendu compte qu’il y a des entités de l’entreprise ici au Luxembourg. Selon le rapport d’Amnesty, SOMO et Privacy International, l’investisseur a utilisé une de ces sociétés pour investir dans NSO. »
Depuis lors, l’Initiative a de nombreuses fois appelé NSO Group, leurs entités au Luxembourg ainsi que le gouvernement luxembourgeois à réagir pour mettre fin à l’utilisation des technologies d’espionnage à des fins illégales.
« En guise de réponse à notre demande, NSO a appelé ses clients à utiliser leur programme uniquement dans le cadre de la lutte contre des crimes sérieux. Ça n’est évidemment pas suffisant. D’autre part, de plus en plus de pays mettent en place des lois qui criminalisent les défenseurs des droits humains, comme les Philippines où les militants sont poursuivis », déclare Antoniya. « NSO a aussi publié une charte dans laquelle ils confirment suivre une politique qui respecte les droits humains. Pour le moment le groupe ne s’exprime pas devant la presse et ne publie pas de rapport sur ce que l’entreprise fait réellement. C’est fort probable qu’ils n’en fassent pas assez.»
Au niveau national Jean Asselborn, ministre des Affaires étrangères et européennes, a envoyé une lettre aux neuf sociétés situées au Luxembourg pour rappeler la législation par rapport à ce type de bien et leur responsabilité en matière des droits humains.
Selon Antoniya, la réaction du gouvernement luxembourgeois n’est pas suffisante : « Le gouvernement se focalise sur les activités commerciales mais pas suffisamment sur les plans financiers. Les investisseurs ont aussi une responsabilité, avec leurs actions financières, ils ont un impact sur les activités de NSO. On ne peut plus laisser cette décision entre les mains des acteurs privés. C’est un secteur qui pose des grands risques en termes des droits humains et qui se développe très vite. L’État doit intervenir rapidement et mettre un cadre. »
Plus en savoir plus sur le sujet, nous recommandons les documents suivants :
- Plus d’informations sur le Projet Pegasus sur amnesty.org
- Le rapport “Uncovering the Iceberg: The Digital Surveillance Crisis Wrought by States and the Private Sector”
et des informations sur le rapport en français - Forensic Methodology Report: How to catch NSO Group’s Pegasus
- Document de recommandations adressées à l’Union européenne en vue de mettre fin à la surveillance ciblée illégale
- Joint open letter by civil society organizations and independent experts calling on states to implement an immediate moratorium on the sale, transfer and use of surveillance technology
- La plateforme « Digital violence. How the NSO Group enables state terror » (un projet de Forensic Architecture avec le soutien d’Amnesty International et The Citizen Lab)
Aidez-nous à mettre fin à la surveillance digitale !
L’exportation de technologies de surveillance à des gouvernements qui utilisent ces outils de manière illégale doit cesser.