NSO Group, entreprise israélienne commercialisant sa technologie pour combattre la pandémie de COVID-19, a favorisé une intense campagne menée par le Maroc pour espionner le journaliste marocain Omar Radi, a révélé Amnesty International dans un nouveau rapport d’enquête rendu public lundi 22 juin.
L’organisation a découvert que le téléphone d’Omar Radi avait été la cible de plusieurs attaques au moyen d’une nouvelle technique sophistiquée permettant d’installer de façon invisible Pegasus, logiciel espion produit par NSO Group. Ces attaques se sont produites alors que le journaliste faisait l’objet d’actes de harcèlement multiples de la part des autorités marocaines – l’une d’entre elles notamment a eu lieu quelques jours seulement après que l’entreprise eut affirmé que ses produits ne seraient plus utilisés pour commettre des violations des droits humains – et elles se sont poursuivies au moins jusqu’au mois de janvier 2020.
« On ne peut manifestement pas faire confiance à NSO Group. Alors que l’entreprise lançait une offensive médiatique pour redorer son blason, ses outils rendaient possible la surveillance illégale d’Omar Radi, journaliste primé et militant, a déclaré Danna Ingleton, directrice adjointe d’Amnesty Tech.
« Même après que des éléments attestant de l’utilisation de son logiciel espion pour suivre des militant·e·s au Maroc ont été portés à sa connaissance, NSO Group semble avoir choisi de conserver le gouvernement marocain parmi ses clients. Si l’entreprise n’empêche pas l’utilisation de sa technologie pour commettre des atteintes aux droits humains, il devrait lui être interdit de la vendre à des États qui s’en serviront probablement à cette fin. »
Si les autorités marocaines sont responsables en dernier ressort du ciblage illégal de militant·e·s et de journalistes, à l’image d’Omar Radi, NSO Group a joué un rôle dans ce type de violation en les maintenant parmi ses clients actifs au moins jusqu’en janvier 2020. Cela leur a semble-t-il permis de conserver un accès au logiciel espion produit par l’entreprise.
En raison de ses activités journalistiques et militantes, Omar Radi est systématiquement pris pour cible par les autorités marocaines. C’est un fervent détracteur du bilan de celles-ci en matière de droits humains, et il a publié des articles sur la corruption ainsi que sur les liens unissant les intérêts du monde des affaires et du monde politique au Maroc. Le 17 mars 2020, il a été condamné à une peine de quatre mois d’emprisonnement avec sursis en raison d’un tweet publié en avril 2019 où il critiquait l’iniquité du procès d’un groupe de militants.
« Les autorités marocaines ont de plus en plus recours à la surveillance numérique pour réprimer l’opposition. Ces pratiques illégales d’espionnage, et le harcèlement généralisé des militant·e·s et des journalistes dans lequel elles s’inscrivent, doivent cesser », a déclaré Danna Ingleton.
Méthode d’attaque silencieuse
Amnesty Tech a réalisé en février 2020 une analyse forensique de l’iPhone d’Omar Radi, qui a permis de découvrir que l’appareil avait été la cible d’une série d’attaques par « injection réseau ».
Ce type d’attaque permet à ses auteurs de surveiller, d’intercepter et de manipuler les données de trafic Internet de la personne ciblée. Le navigateur Internet du téléphone est redirigé vers un site malveillant, sans aucune intervention de son ou sa propriétaire. Le logiciel espion Pegasus est alors installé de façon invisible sur le téléphone à partir de ce site.
Une attaque par injection réseau nécessite soit de se situer à proximité des personnes ciblées, soit d’avoir accès aux réseaux mobiles du pays – ce que seuls les pouvoirs publics pourraient autoriser ; il s’agit donc là d’un autre élément qui donne à penser que les autorités marocaines sont responsables de l’attaque visant Omar Radi. En janvier 2020, NSO Group commercialisait toujours cette technologie d’interception sophistiquée.
Dès lors que Pegasus est installé, les auteurs de l’attaque ont entièrement accès au contenu du téléphone (messages SMS, courriels, activité sur Internet, micro, appareil photo, appels téléphoniques et contacts). On sait qu’il est difficile pour une victime de repérer une attaque par injection réseau, car elle laisse très peu de traces.
Les preuves numériques qu’Amnesty International a extraites du téléphone d’Omar Radi donnent à penser que des attaques par injection réseau se sont produites les 27 janvier, 11 février et 13 septembre 2019. Le 10 septembre 2019, NSO Group s’est engagé publiquement à respecter les Principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme.
Le navigateur du téléphone d’Omar Radi a été redirigé vers le même site malveillant que celui identifié par Amnesty International dans une attaque ciblant l’universitaire et militant marocain Maati Monjib, comme expliqué dans le rapport intitulé Maroc. Des défenseurs des droits humains ciblés par un logiciel espion de NSO Group et publié le 10 octobre 2019.
NSO Group a reçu un exemplaire de ce rapport le 2 octobre 2019, avant sa publication. Le site malveillant a été fermé le 6 octobre, quelques jours avant qu’Amnesty International ne rende ses conclusions publiques. Cependant, de nouveaux indices révèlent que le téléphone d’Omar Radi a continué d’être la cible d’attaques similaires par injection réseau, via un autre site, jusqu’au 29 janvier 2020.
NSO Group affirme ne vendre son logiciel espion qu’aux services de renseignement et organes chargés de l’application des lois des États. Or, les éléments mis au jour par Amnesty International indiquent que le gouvernement marocain est resté un client actif de l’entreprise et qu’il a pu continuer d’utiliser la technologie de celle-ci pour suivre, intimider et réduire au silence des militant·e·s, des journalistes et ses détracteurs.
Quand l’organisation a communiqué les résultats de ses investigations les plus récentes à NSO Group, l’entreprise n’a ni confirmé ni réfuté l’utilisation de sa technologie par les autorités marocaines, et a indiqué que les informations présentées seraient examinées.
« NSO Group doit répondre à des questions importantes au sujet des dispositions qu’elle a prises après avoir reçu des informations prouvant l’utilisation de sa technologie pour commettre des violations des droits humains au Maroc. Pourquoi notamment n’a-t-elle pas résilié son contrat avec les autorités marocaines ? L’intimidation de journalistes et de militant·e·s au moyen d’une surveillance numérique invasive constitue une violation de leurs droits au respect de la vie privée et à la liberté d’expression », a déclaré Danna Ingleton.
NSO Group affirme procéder à un examen rigoureux destiné à identifier les risques pour les droits humains avant de vendre ses produits, mais elle n’a pas fourni de détails à ce sujet et, au vu du nombre d’attaques visant la société civile, cet examen semble bien souvent avoir été inefficace.
Des violations systématiques des droits humains
Amnesty International et d’autres organisations ont recueilli des informations sur l’utilisation systématique du logiciel espion Pegasus développé par NSO Group pour attaquer la société civile. Ce logiciel a notamment servi à mener des attaques contre des journalistes et des députés au Mexique, contre les militants saoudiens Omar Abdulaziz, Yahya Assiri et Ghanem Al Masarir, contre le défenseur des droits humains primé Ahmed Mansoor, des Émirats arabes unis, et contre un membre d’Amnesty International. Il aurait également été utilisé dans l’affaire du dissident saoudien assassiné Jamal Khashoggi.
En vertu des Principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme, NSO Group et son actionnaire majoritaire, le fonds d’investissement privé britannique Novalpina Capital, sont clairement tenus de prendre immédiatement des mesures pour veiller à ne pas causer d’atteintes aux droits humains dans le monde ni y contribuer.
Actions en justice
Amnesty International soutient actuellement une action en justice intentée en Israël contre le ministère israélien de la Défense pour qu’il annule la licence d’exportation de NSO Group. L’organisation fait valoir qu’il hypothèque les droits humains en laissant l’entreprise exporter ses produits vers des États du monde entier. Une décision devrait bientôt être rendue.
Qui plus est, Facebook a assigné NSO Group devant la justice californienne, l’accusant d’avoir exploité une faille de WhatsApp pour cibler au moins 100 défenseur·e·s des droits humains.
« La bataille judiciaire engagée contre NSO Group se poursuit, car l’entreprise refuse de reconnaître sa responsabilité et son rôle dans des violations des droits humains. Les nouveaux éléments mis au jour par Amnesty International constituent le dernier signal d’alarme en date, justifiant d’empêcher l’entreprise de vendre sa technologie de surveillance, y compris pour combattre la pandémie de COVID-19 », a déclaré Danna Ingleton.