Entretien : Une directrice de HRW visée par le logiciel espion Pegasus

328

Lama Fakih, qui vit au Liban et supervise le travail de l’organisation sur les zones de conflit, a été ciblée par une cyber-attaque étatique

Les technologies de surveillance vendues aux gouvernements par la société NSO Group ont été employées à plusieurs reprises pour cibler les téléphones de journalistes, d’activistes, de politiciens et de diplomates. Le logiciel, nommé Pegasus, donne aux attaquants un accès total à la caméra, au microphone, à l’historique des appels, aux courriels aux SMS et à d’autres éléments – dont la sécurité est cruciale pour les gens qui dévoilent des abus de la part de gouvernements. Human Rights Watch a récemment appris que l’iPhone de Lama Fakih, qui supervise le travail de l’organisation portant sur les zones de conflit et d’autres urgences, était infecté par Pegasus. Fred Abrahams, de Human Rights Watch, s’est entretenu avec Lama Fakih pour évoquer comment elle s’est rendu compte des attaques, qu’est-ce qui l’a poussée à les rendre publiques et pourquoi il est essentiel que les États réglementent le secteur florissant des logiciels espions.

Pouvez-vous nous parler brièvement de votre travail à HRW, de ce que vous faites ?

J’ai commencé à travailler à Human Rights Watch à Beyrouth après le début du Printemps arabe en 2011, en tant que chercheuse pour la Syrie et le Liban. J’ai occupé depuis plusieurs postes dans l’organisation et travaillé également à Amnesty International. Je suis actuellement directrice de la division Crises et conflits de Human Rights Watch et à la tête de notre bureau au Liban. Le travail que je supervise est effectué dans des pays aussi lointains que la Syrie, la Birmanie, Israël et la Palestine, le Kazakhstan, l’Éthiopie, les États-Unis, le Liban et l’Afghanistan. Un volet de notre travail porte d’ailleurs sur la façon dont les technologies de surveillance sont déployées d’une manière illégale et en violation des droits.

Quand avez-vous su que votre téléphone était infecté par le logiciel espion ?

Apple m’a avertie que mon iPhone faisait l’objet d’une attaque pilotée par un État le 23 novembre, puis à nouveau le 24 novembre 2021. J’ai reçu un iMessage sur mon numéro de téléphone libanais ainsi qu’un courriel d’Apple me notifiant qu’ils pensaient que j’étais ciblée par des attaquants soutenus par un État, qui, d’après eux, me ciblaient probablement à cause de qui j’étais ou de ce que je faisais. J’ai immédiatement contacté la directrice de la sécurité de l’information à Human Rights Watch et nous avons lancé le processus permettant de confirmer que l’attaque avait eu lieu.

Apple a porté plainte contre NSO Group en novembre 2021 afin qu’il cesse sa surveillance des appareils Apple à l’aide de logiciels. La société NSO, qui est basée en Israël, affirme qu’elle ne vend le logiciel espion aux gouvernements que pour arrêter des criminels et des terroristes et qu’elle ne passe pas de contrat avec les clients potentiels pour lesquels les risques en matière de droits humains sont « excessivement élevés ». Pourtant les attaques contre moi, ainsi que contre d’innombrables autres activistes et journalistes, sont bien la preuve que ce n’est pas vrai.

Quelle a été votre première réaction ?

La nouvelle m’a bouleversée. J’avais vraiment peur, je n’arrivais pas à y croire. Un million d’idées vous traversent l’esprit à ce moment-là. Pourquoi serais-je ciblée de cette façon, et comment ? Quel gouvernement avait fait cela ? Qu’est-ce que cela implique pour ma sécurité et celle de toutes les personnes dont les données pourraient être compromises du fait de cette attaque ? À quoi ont-ils pu avoir accès et qu’est-ce qui a été compromis ? Comment puis-je empêcher que cela se reproduise ? Je me pose encore beaucoup de ces questions et je n’aurai probablement jamais les réponses. On ne saura sans doute jamais qui a attaqué mon téléphone, ni pourquoi.

Comment avez-vous vérifié que l’attaque avait eu lieu ?

Le jour où j’ai reçu la notification d’Apple, notre directrice de la sécurité de l’information a confirmé que la notification était authentique. Le lendemain, après une analyse de départ de l’historique de mon iPhone, elle a confirmé qu’une attaque étatique avait bien eu lieu au moyen du logiciel Pegasus. Il s’agissait de la première étape d’une série d’analyses techniques que nous avons effectuées par la suite pour mieux comprendre l’attaque.

Quelles mesures avez-vous prises alors ?

Tout d’abord, nous avons fait en sorte que tous mes appareils et toutes mes données soient protégées, puis vérifié les appareils de collègues de Human Rights Watch qui collaborent étroitement avec moi ou dont nous pensions qu’ils et elles auraient pu être attaqué·e·s pour d’autres raisons. Nous n’avons pas trouvé d’éléments indiquant que des appareils de collègues étaient compromis.

Après une analyse criminalistique numérique exhaustive, nous avons constaté que Pegasus avait été utilisé pour infecter mon iPhone actuel, de même que l’ancien, à au moins cinq reprises entre avril et août 2021. Nous avons également demandé au Security Lab d’Amnesty International de réaliser une évaluation entre pairs. Celle-ci a conforté notre analyse.

Il s’agissait d’attaques « zéro clic », c’est-à-dire que je n’avais rien fait – cliqué sur un lien, par exemple – pour les déclencher. Il n’y a aucun moyen d’empêcher ce type d’attaque. Une fois sur votre appareil, Pegasus peut récolter pratiquement n’importe quelle information, extraire n’importe quel fichier – SMS, contacts, photos, historique des appels, entrées du calendrier, courriels et historique de navigation Internet. Les recherches montrent que Pegasus dissimule ses traces en effaçant les processus ou en se faisant passer pour un processus légitime du système d’exploitation du téléphone, ce qui fait qu’il est impossible de savoir quelles données ont été compromises ou si la caméra et le microphone ont été utilisés pour m’espionner.

Puis nous avons adressé une lettre aux responsables de NSO Group, la société qui produit le logiciel de surveillance Pegasus, en leur demandant s’ils pouvaient commenter le fait qu’un membre de l’équipe de Human Rights Watch avait été ciblé et s’ils estimaient qu’il s’agissait d’un usage légitime de leur produit. Il a été rapporté à de nombreuses reprises que le logiciel Pegasus avait été employé pour infiltrer les appareils d’activistes, de journalistes, de politiciens et de diplomates, mais NSO Group a toujours nié ces informations.

Nous avons également échangé avec nos partenaires locaux et internationaux travaillant sur le sujet depuis longtemps, comme Amnesty International, Access Now et Citizen Lab, ainsi qu’avec SMEX et SKeyes au Liban, deux organisations travaillant sur les droits numériques.

Suite à tout cela, nous avons décidé de rendre publique cette attaque pilotée par un État, afin que les partenaires de la société civile – et nos contacts de manière plus générale – prennent conscience de ce risque. Parler haut et fort de ces agissements est crucial pour faire cesser l’usage incontrôlé des technologies de surveillance.

Quelle a été la réponse de NSO Group au courrier de Human Rights Watch ?

Dans sa réponse au courrier de Human Rights Watch demandant un commentaire, NSO Group a affirmé que la société « ne dispose pas d’aucune information sur un client actif  qui utiliserait [sa] technologie contre un membre du personnel de Human Rights Watch ». NSO Group a aussi indiqué son intention d’entreprendre une « évaluation initiale » de nos allégations, afin de déterminer si une enquête était justifiée. L’entreprise a ajouté qu’elle prend « toute allégation d’utilisation abusive de [son] système contre un[e] défenseur[e] des droits humains très au sérieux », et qu’une telle utilisation abusive violerait ses propres politiques, ainsi que les termes de ses contrats avec ses clients. Le courrier de NSO Group invitait Human Rights Watch à consulter sa politique sur les lanceurs d’alertes (Whistleblower Policy), ainsi que son rapport sur la transparence (Transparency Report), expliquant comment NSO Group répond à de telles allégations.

En quoi cette attaque a-t-elle impacté votre travail ?

Human Rights Watch sait que les gouvernements ciblent les défenseur·e·s des droits humains dans le monde entier et tente de les faire taire. Nous avons des protocoles de sécurité rigoureux en matière d’information afin de protéger notre personnel, nos contacts et la confidentialité de notre travail.

En plus de ces mesures, je ne conserve désormais qu’une quantité minimale d’informations sur mon téléphone libanais. Même à l’époque des attaques, je n’ouvrais pas la messagerie de Human Rights Watch ni nos systèmes internes depuis ce téléphone, ce qui a limité les compromissions de données. Apple a depuis corrigé la vulnérabilité que NSO Group avait exploitée pour m’attaquer, ainsi que d’autres personnes, et en novembre, la société a porté plainte contre NSO Group pour les attaques à l’encontre de ses utilisateurs.

Toutes ces mesures contribuent à protéger nos données, ce qui me permet de faire mon travail de façon sûre. Mais d’autres vulnérabilités surgiront – et NSO Group n’est qu’une société du secteur de la surveillance parmi d’autres vendant aux gouvernements des technologies de surveillance sophistiquées. En l’absence d’une réglementation à même de limiter la vente et l’usage de logiciels espions à des fins abusives, avec les attaques « zéro clic », je demeure vulnérable, de même que les autres défenseur·e·s des droits et les journalistes – ou n’importe quelle autre personne, en réalité.

Cela ne porte pas seulement atteinte à nos droits et notre sécurité, mais aussi ceux de tous les gens avec ou à propos de qui nous communiquons. Ces attaques rendent notre travail plus difficile et plus risqué. Elles ont des conséquences dans la vie réelle. Des gens ont été placés en détention, torturés, et même dans certains cas tués, après avoir été infectés par le logiciel espion Pegasus ou après qu’une de leur connaissances l’a été. Même si je ne pense pas que les attaques illégales contre mon téléphone aient causé préjudice à d’autres personnes, ce risque ne peut pas être écarté.

Qu’est-ce que cela fait, de ne pas savoir qui vous a attaquée ni pourquoi ?

C’est frustrant. NSO a affirmé qu’il ne vendait ses produits qu’aux gouvernements, mais quel était le gouvernement responsable de l’attaque ? 

Au moment des attaques, entre avril et juillet 2021, je supervisais des travaux liés à un certain nombre de crises dans le monde. C’était notamment le cas des hostilités qui avaient éclaté au mois de mai entre Israël et les groupes armés de Gaza, ainsi que d’un travail intensif à propos d’une enquête sur l’explosion dévastatrice du port de Beyrouth en août 2020, dont la responsabilité incombe aux responsables du gouvernement libanais. Mais il n’y a aucun moyen de dire si les attaques étaient liées à ce sur quoi je travaillais à ce moment-là.

En juillet, Forbidden Stories, une organisation médiatique à but non lucratif basée à Paris, avec l’appui technique d’Amnesty International, a révélé avoir obtenu une liste ayant fuité de plus de 50 000 numéros de téléphone qui, a-t-on rapporté, seraient des cibles de surveillance potentielles de la part de clients connus de NSO. Mon numéro n’était pas dans cette liste, mais Daraj Media, une plateforme de médias numériques indépendants basée au Liban, a rapporté qu’y figuraient 300 numéros de téléphone libanais, appartenant notamment à des politiciens, journalistes, activistes et hommes d’affaires.

Forbidden Stories et ses partenaires médiatiques ont identifié des clients potentiels de NSO dans 11 pays, dont quatre au Moyen-Orient et en Afrique du Nord, région où je suis basée et sur laquelle se concentre la majorité de mon travail ces dix dernières années. Il s’agit du Bahreïn, du Maroc, de l’Arabie saoudite et des Émirats arabes unis. En avril 2021, Axios a rapporté que le gouvernement jordanien négociait avec NSO Group pour acquérir des technologies de surveillance. Human Rights Watch et d’autres organisations ont par ailleurs rapporté que le logiciel espion Pegasus était employé à l’encontre des défenseur·e·s des droits palestinien·ne·s basé·e·s en Cisjordanie.

Est-ce qu’un de ces autres gouvernements était responsable de l’attaque ? Je ne le sais toujours pas.

Qu’est-ce que cela signifie pour les droits humains ?

C’est un fait bien établi que le logiciel espion Pegasus est utilisé pour surveiller illégalement ou arbitrairement les activistes et les journalistes dans toutes les régions du monde, mais nous ne savons pas à quel point ces attaques sont répandues. Ma crainte, c’est que ce que nous savons ne constitue que la partie émergée de l’iceberg.

Une des raisons pour lesquelles j’ai voulu m’exprimer publiquement est que j’occupe une position privilégiée. J’ai un poste de cadre dans une organisation prééminente de défense des droits humains. Je suis avocate, diplômée d’une excellente faculté de droit américaine et ressortissante des États-Unis. Je pense que le fait que j’aie été attaquée illustre bien à quel point ceci est courant, à quel point nous sommes impuissants pour faire cesser ces attaques avec les législations actuelles, et par ailleurs qu’il nous informe du profil des personnes qui sont ciblées. Vraiment, n’importe qui pourrait être attaqué, n’importe quelle personne de mon équipe, d’une organisation partenaire ou de la presse. Vous pourriez être attaqué et ne jamais le savoir.

Il est difficile d’inventorier ou de quantifier l’ensemble des préjudices que causent ces attaques, et de façon plus générale la surveillance illégale, du point de vue des droits humains. Elles violent notre droit à la vie privée, bien sûr, mais les nuisances sont bien plus malfaisantes, elles ont bien d’autres répercussions. En plus de bafouer notre vie privée, ces attaques portent atteinte à notre liberté d’expression et d’association. Elles portent atteinte à notre capacité à communiquer librement, sans crainte d’être écoutés. Elles menacent notre sécurité personnelle et celle de nos connaissances. Mais cela, c’est juste au niveau de l’individu. De façon cumulée, ces attaques menacent l’ensemble de nos droits.

Ce n’est pas le hasard si les gouvernements utilisent les logiciels espions pour cibler les activistes et les journalistes, c’est-à-dire les personnes qui dévoilent leurs pratiques abusives. Ils semblent penser que par ce biais, ils peuvent consolider leur pouvoir, faire taire les voix dissidentes et protéger leur manipulation des faits. Il s’agit là justement de la réalité dystopique que les défenseur·e·s des droits et les journalistes essayons d’éviter à tout prix.

Les ventes non contrôlées de technologies de surveillance rendent les activistes et les journalistes plus vulnérables face aux abus étatiques et à la censure forcée. Lorsque les personnes dénonçant les gouvernements qui bafouent les droits sont attaquées, cela nous rend tous plus vulnérables aux abus.

Que devrait-on faire contre les logiciels espions ?

Les gouvernements devraient suspendre le commerce des technologies de surveillance tant que des cadres règlementaires protégeant les droits ne sont pas en place. Les gouvernements devraient également cesser d’employer ces technologies d’une façon qui viole les droits humains.

Alors que les organisations de défense des droits humains dénoncent depuis des années l’emploi abusif des logiciels espions commerciaux et la nécessité de réglementations plus strictes, les gouvernements ont de fait autorisé des sociétés comme NSO Group à se réglementer elles-mêmes. Cela leur a permis de continuer à vendre leurs logiciels espions à des gouvernements dont les atteintes aux droits humains sont connues et pour lesquels il est prouvé qu’ils emploient des logiciels espions afin de cibler des journalistes et des défenseur·e·s des droits humains.

Les États devraient règlementer ce commerce et demander des comptes aux entreprises à propos de ces ventes et de ces agissements.

Si vous avez trouvé une coquille ou une typo, veuillez nous en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée . Cette fonctionnalité est disponible uniquement sur un ordinateur.