Enquêter sur le paysage de la surveillance numérique

La surveillance numérique est aujourd’hui omniprésente : dès que vous ouvrez votre portable le matin, votre activité génère des données par le biais des applications que vous utilisez, des antennes auxquelles votre téléphone se connecte et des appels que vous passez. La plupart de ces données sont enregistrées, stockées et traitées soit par des entreprises pour générer des profits, soit par des entités étatiques pour enquêter sur la criminalité et d’autres activités illégales. Dans ce chapitre, je me concentre sur les formes les plus courantes de surveillance numérique auxquelles vous pouvez être confronté en tant que journaliste, et j’explique rapidement comment enquêter sur ces formes de surveillance et comment les contrer.

Qu’est-ce que la surveillance numérique et qui la pratique ?

Pour mieux comprendre la surveillance numérique, il est important de distinguer deux formes : la surveillance de masse et la surveillance ciblée.

La surveillance de masse consiste à surveiller sans discernement une grande partie de la population, qu’elle soit ou non soupçonnée d’actes répréhensibles. Elle peut, par exemple, consister à capter toutes les communications téléphoniques à l’intérieur d’un pays ou à utiliser la reconnaissance faciale sur des caméras de surveillance.

La surveillance ciblée vise des individus précis, souvent à l’aide de techniques nettement plus intrusives, telles que des logiciels espions ou des microphones placés au domicile des personnes.

La plupart des activités de surveillance affectant la société civile sont menées par des agences gouvernementales (généralement des services de police ou de renseignement), mais elles sont souvent soutenues par une industrie de la surveillance peu réglementée et avec peu de barrières éthiques. La surveillance par les États a un pendant commercial : la surveillance par les entreprises. Ce que beaucoup par le “capitalisme de surveillance” génère des revenus grâce à la collecte massive de données privées. Son objectif premier n’est pas de surveiller les journalistes et la société civile, c’est pourquoi il ne sera pas au centre de nos préoccupations. Cependant, il est certain que les entreprises peuvent être impliquées dans la surveillance numérique ciblée des journalistes et que la surveillance par les entreprises peut être utilisée dans le cadre du renseignement sur les menaces.

La surveillance étatique est le plus souvent discrète, voire clandestine. Les services de renseignement préfèrent ne pas révéler ce dont ils sont capables et ainsi éviter de voir leurs propres pratiques scrutées et contrôlées. Il est néanmoins possible de recueillir des informations sur l’industrie de la surveillance.

• Elles veulent se cacher, mais elles ont besoin d’exister. Bien qu’elles fassent de la surveillance un commerce, ces sociétés doivent également fonctionner comme des entreprises normales à certains égards. Cela signifie qu’elles ont une entité juridique enregistrée quelque part, qu’elles ont des salariés, qu’elles publient des offres d’emploi sur LinkedIn ou ailleurs et, dans certains cas, qu’elles doivent attirer des investisseurs. Tous les moyens du journalisme économique peuvent donc être mis à profit pour enquêter sur ces entreprises.
• Elles veulent se cacher, mais elles doivent se faire connaître. Les entreprises qui vendent des produits de surveillance et les organismes chargés de l’application de la loi (agences de sécurité publique) se réunissent chaque année à l’occasion d’une douzaine de conventions sur la surveillance dans le monde entier, telles que ISS World ou Milipol. Bien que la plupart de ces événements soient interdits aux journalistes, la liste des entreprises, des sponsors et des conférences, parfois accessible au public, donne un aperçu intéressant des produits et des entreprises. Par exemple, le groupe NSO est le principal sponsor de l’ISS World Europe qui s’est tenu à Prague en juin 2023. Certaines brochures de produits de surveillance sont disponibles, ainsi que des catalogues de l’industrie de la défense tenus par certains pays, comme celui du ministère israélien de la défense. Dans de nombreux cas, la forme de surveillance n’est pas clairement expliquée, des euphémismes tels que « extraction de données à distance » étant utilisés à la place de « logiciels espions ».
• Elles veulent se cacher, mais elles ont besoin d’une infrastructure pour fonctionner. Toute forme de surveillance numérique nécessite une infrastructure numérique qui laisse souvent des traces en ligne. (Voir notre article sur le suivi via l’infrastructure numérique).

Différentes formes de surveillance par l’État

En raison de l’évolution et de la complexité du paysage de la surveillance numérique, il est difficile de brosser un tableau complet et précis du secteur. Il est toutefois important de comprendre les principales formes de surveillance numérique employées par les États pour contrôler la société civile.

Surveillance des réseaux téléphoniques

La surveillance des réseaux téléphoniques est probablement l’une des formes les plus anciennes et les plus répandues de surveillance numérique. Presque tous les pays disposent d’un système permettant de mettre sur écoute les appels téléphoniques et les SMS standard dans le cadre d’enquêtes policières. Ces systèmes sont également largement utilisés par les services de renseignement, avec différents degrés de contrôle.

Le développement de la téléphonie mobile a élargi ces moyens de surveillance. En effet, les téléphones portables doivent interagir avec les tours de téléphonie mobile situées à proximité pour pouvoir communiquer. Cela permet à des tiers de géolocaliser les téléphones portables. Le degré de précision de cette géolocalisation peut varier. Les facteurs clés sont les suivants : le système vérifie-t-il seulement la dernière tour cellulaire à laquelle le téléphone a été connecté (ce qui donne une localisation allant de quelques centaines de mètres à quelques centaines de kilomètres, en fonction de la densité des tours cellulaires) ou procède-t-il à une géolocalisation active en triangulant le signal à l’aide de plusieurs tours cellulaires (dans ce cas, une localisation peut être précise à quelques mètres près).

Afin d’avoir le meilleur signal téléphonique, les portables sont conçus pour se connecter à l’antenne relais la plus proche. Il est donc possible de créer des tours cellulaires portables capables de capter les communications des appareils situés à proximité. Ces outils sont appelés IMSI Catchers (ou parfois, familièrement, Stingrays, en utilisant comme synonyme l’un des produits IMSI Catcher les plus connus) et sont à la disposition des forces de l’ordre dans de nombreux pays. Les protocoles mobiles plus récents ont rendu ces attaques plus difficiles. Aujourd’hui, le niveau d’intrusion dépend du matériel et de la configuration. Les systèmes les plus simples ne peuvent qu’identifier les téléphones portables dans une zone, tandis que les systèmes plus complexes sont capables de mettre sur écoute et de modifier les communications de données de ces téléphones.

Le traditionnel IMSI Catcher Stingray. Image : Office américain des brevets et des marques

Le réseau téléphonique international repose sur un vieux protocole appelé Système de signalisation n° 7 (SS7), connu pour ses graves problèmes de sécurité, en partie parce que les compagnies de téléphone ne sont guère incitées à investir dans la sécurité de leur réseau. Cette faille de sécurité a permis à certaines sociétés de surveillance (comme Circles) de s’enregistrer en tant qu’opérateur SS7 (ou de payer les opérateurs existants pour bénéficier de leur accès au réseau) et d’utiliser cet accès pour suivre à distance des téléphones portables dans le monde entier. Ce type de surveillance a notamment été utilisé pour suivre la princesse Latifa al-Maktoum alors qu’elle tentait d’échapper à son père, le cheikh Mohammed, le souverain de Dubaï, en 2018.

Il convient de noter que les métadonnées (telles que le numéro de l’appelant, le numéro du destinataire et l’heure de l’appel) peuvent être plus intéressantes et plus faciles à analyser que les données elles-mêmes. Ces données sont souvent disponibles avec moins de surveillance pour la police et peuvent permettre d’identifier des réseaux de personnes travaillant ensemble.

Surveillance des réseaux Internet

En 2011, pendant la guerre civile libyenne qui a vu la fin du règne de Mouammar Kadhafi, un petit groupe d’activistes a découvert un centre de surveillance gouvernemental caché, équipé de systèmes installés par la société française Amesys (rebaptisée par la suite Nexa Technologies). Ces systèmes étaient capables de surveiller et d’enregistrer toutes les données passant par l’Internet libyen, en extrayant les courriels, les chats, les appels téléphoniques via Internet et l’historique de navigation. Dans de nombreux cas, les données extraites par ces systèmes de surveillance ont été utilisées pour arrêter, interroger et parfois même torturer des militants.

Les États se servent désormais régulièrement de la surveillance sur Internet pour contrôler l’activité de leurs citoyens. Les révélations d’Edward Snowden ont donné un premier aperçu des capacités de surveillance d’Internet des États-Unis, avec des programmes secrets comme XKEYSCORE permettant à l’État de rechercher des informations précises dans sa base de données. Ces types d’outils sont depuis devenus accessibles aux pays disposant de budgets plus modestes, en grande partie grâce aux technologies développées en Amérique du Nord, en Europe et en Israël. Par exemple, en 2021, Amnesty International a montré que la société israélienne Verint vendait du matériel de surveillance au Sud-Soudan, et a documenté la crainte que cette surveillance constante a suscité chez les activistes du pays.

Attaques par hameçonnage et logiciels espions

Avec l’utilisation croissante du cryptage, de nombreux États se tournent vers les attaques sur les appareils ou les comptes par hameçonnage ou par logiciels espions. L’hameçonnage consiste à envoyer des messages ou des courriels pour inciter la personne ciblée à ouvrir un fichier malveillant (contenant la plupart du temps des logiciels espions) ou à saisir son nom d’utilisateur et son mot de passe sur un site web malveillant. Les logiciels espions sont des programmes malveillants qui surveillent secrètement l’activité des appareils et recueillent leurs données.

Les outils et les compétences nécessaires à ces attaques sont parfois développés par des États qui investissent du temps et des ressources pour embaucher des développeurs de logiciels espions. Mais de nombreux pays trouvent plus facile de s’appuyer sur l’industrie commerciale des logiciels espions. Cette industrie a émergé en Europe avec des sociétés comme FinFisher et Hacking Team, puis en Israël avec des sociétés comme NSO Group et Paragon. Le type de surveillance rendu possible par cette industrie a été documenté au cours des 15 dernières années. Des centaines de journalistes et d’activistes ont ainsi été ciblés. L’industrie des logiciels espions fournit des outils avancés – notamment Pegasus, développé par NSO Group – qui peuvent compromettre un smartphone en exploitant des vulnérabilités logicielles inconnues du développeur (généralement appelées vulnérabilités « zero-day »). À ses débuts, Pegasus infectait un appareil via des liens envoyés par SMS aux victimes. Il suffisait de cliquer sur ces liens pour que son téléphone soit mis sous surveillance.

Liens générés par le logiciel espion Pegasus ciblant Ahmed Mansoor, défenseur des droits de l’Homme basé aux Émirats arabes unis, en août 2016. Image : Capture d’écran, Citizen Lab

Vers 2018-19, NSO Group serait passé à ce qu’on appelle l’exploitation sans clic – des attaques réalisées sans aucune interaction avec l’utilisateur. En d’autres termes, le téléphone d’un utilisateur peut être infecté silencieusement même s’il ne clique pas sur un lien malveillant. Ces attaques exploitent les vulnérabilités des applications (comme WhatsApp en 2019) ou utilisent l’injection de réseau, qui redirige les navigateurs et les applications d’une cible vers des sites web malveillants.

Si ces attaques sont techniquement avancées et font les gros titres dans la presse, la plupart des logiciels espions et des attaques par hameçonnage ciblant les journalistes et les militants sont moins complexes. La grande majorité des attaques dont j’ai été témoin au cours de ma carrière prennent des formes plus simples, qui se rapprochent de l’hameçonnage. Une attaque classique consiste à envoyer des courriels usurpant l’identité de plateformes en ligne (telles que Google ou Yahoo) afin d’inciter l’utilisateur à fournir ses identifiants et mots de passe. Une autre consiste à envoyer des fichiers ou des applications sur des applications de chat, en essayant d’inciter la victime à ouvrir ou à installer les fichiers malveillants.

Un hameçonneur tente d’inciter une victime à installer une application malveillante. Image : Captures d’écran, Amnesty International

Un grand nombre d’attaques visant la société civile consiste à manipuler une cible afin de la convaincre d’entreprendre une action telle que la transmission de son mot de passe ou d’autres informations personnelles précieuses. Cela peut se faire en usurpant l’identité d’organisations dignes de confiance, ou même en créant de fausses ONG. Une technique, appelée spoofing, consiste à faire passer des liens malveillants pour des adresses électroniques familières. Toutes ces attaques, même si elles sont beaucoup moins compliquées techniquement que Pegasus, sont beaucoup moins coûteuses à réaliser et restent efficaces contre la société civile.

Outils de criminalistique

L’appareil UFED de Cellebrite est l’un des outils de criminalistique les plus couramment utilisés par les forces de l’ordre. Image : Wikipedia, Creative Commons

Lorsque des journalistes ou des militants sont arrêtés, il arrive souvent que les autorités confisquent leurs appareils afin d’en extraire les données à l’aide d’outils de criminalistique numérique. Certaines autorités développent ces outils par elles-mêmes, la plupart du temps elles s’approvisionnent auprès de sociétés d’investigation numérique telles que Cellebrite ou Magnet Forensics.

Des entreprises de criminalistique comme Cellebrite ont été critiquées pour avoir vendu leurs produits à des gouvernements autoritaires au Bangladesh, en Biélorussie et au Myanmar.

L’efficacité de ces outils dépend de nombreux facteurs, tels que l’âge et la sécurité du téléphone, ainsi que le prix et la complexité des outils utilisés par la police. En 2015-16, par exemple, un vif débat a entouré une affaire juridique dans laquelle le FBI a tenté de contraindre Apple d’affaiblir le cryptage de ses iPhones. Le FBI ne parvenait pas à extraire les données d’un téléphone appartenant au suspect d’une fusillade de masse. Après une longue bataille juridique, l’agence a retiré sa demande. Elle a fini par trouver une société tierce capable d’extraire les données en utilisant un problème de sécurité dans l’appareil. Des cas comme celui-là donnent un aperçu intéressant des capacités dont disposent les forces de l’ordre. Il convient toutefois de noter que, dans de nombreux cas, les autorités tentent de forcer un utilisateur à donner accès à son appareil en recourant à des menaces juridiques ou physiques. En France, par exemple, refuser de fournir le code d’accès d’un téléphone portable à la police constitue une infraction pénale.

Plateformes en sources ouvertes

Plus récemment, des plateformes de renseignement en sources ouvertes et de renseignement sur le web sont à l’origine d’un autre type de surveillance. Ces plateformes collectent des données en ligne à partir de sites web et de réseaux sociaux accessibles au public. Elles organisent le tout dans des bases de données centralisées afin de cartographier l’activité d’une personne. Cela peut sembler relativement inoffensif, ces données étant publiques. Or ces données sont souvent combinées à d’autres informations privées telles que les appels téléphoniques ou les données de géolocalisation obtenues à l’aide de traceurs cachés dans les applications. Cela permet aux utilisateurs de suivre avec précision l’activité d’une personne.

Le rapport sur l’industrie de la surveillance publié par Meta en décembre 2022 et les récents reportages du consortium Forbidden Stories suggèrent que ce secteur est en pleine expansion. Les récentes révélations en provenance de Colombie montrent clairement que ces outils peuvent être utilisés à mauvais escient pour cibler les journalistes et la société civile.

Conseils et outils en matière de sécurité numérique

Après avoir lu ce guide sur l’effrayant secteur de la surveillance numérique, il se peut que vous ayez un sentiment d’insécurité et que vous pensiez que la sécurité numérique est une bataille perdue d’avance. Ce n’est pas le cas.

Même s’il est difficile de rester en sécurité sur une longue période face à un adversaire dévoué et disposant de ressources importantes, il existe de nombreux outils et mesures que vous pouvez mettre en place pour améliorer de manière significative votre sécurité numérique. Et il n’est pas toujours nécessaire d’être parfaitement sécurisé – il suffit de l’être suffisamment pour contrer la surveillance des personnes qui veulent vous surveiller.

Un guide complet de la sécurité numérique va au-delà de ce court chapitre, mais permettez-moi d’utiliser cette dernière section pour citer les méthodes et les outils que tout journaliste se doit de connaître.

Outils

Utilisez des applications de chat cryptées de bout en bout. Le cryptage de bout en bout signifie que le serveur qui gère les données entre les utilisateurs ne peut pas voir le contenu des données échangées. C’est un point essentiel, car cela signifie que vous n’avez pas à faire confiance à l’entreprise ou aux personnes qui se trouvent derrière l’application, pour autant que le cryptage soit effectué correctement. L’application de chat crypté de bout en bout la plus connue et la plus respectée est Signal. Mais de plus en plus d’applications sont développées avec un cryptage de bout en bout, y compris pour le transfert de fichiers (comme Tresorit) ou même de documents partagés (comme CryptPad). Sur les applications de chat comme Signal, veillez à activer la disparition des messages pour éviter de conserver l’historique de conversations sensibles sur votre téléphone.

Sécurisez votre téléphone autant que possible. Même s’il reste encore beaucoup à faire, la sécurité des smartphones ne cesse de s’améliorer. Il est possible de sécuriser vos appareils en quelques étapes seulement. Si vous utilisez Android, assurez-vous que vous utilisez un téléphone qui reçoit régulièrement des mises à jour de sécurité de la part de votre fabricant, et que vous mettez à jour le système et les applications que vous utilisez. (Si vous avez des connaissances techniques, pensez à migrer vers GrapheneOS.) Pour les utilisateurs d’iPhone, veillez à mettre à jour votre téléphone avec le logiciel le plus récent. Si vous êtes exposé à un risque de logiciel espion avancé, activez le mode verrouillé d’Apple, dont Citizen Lab a récemment découvert qu’il permettait de bloquer une attaque  de type « zero-day » de NSO Group. Dans les deux cas, essayez de limiter le nombre d’applications sur votre portable, et essayez de séparer vos téléphones personnel et professionnel.

Utilisez l’authentification à deux facteurs. L’authentification à deux facteurs (2FA) exige que vous saisissiez des informations supplémentaires en plus de votre mot de passe pour vous connecter à un compte. Il peut s’agir d’un code envoyé par SMS (ce n’est pas parfait, mais c’est mieux que rien), d’un code généré par une application sur votre téléphone comme FreeOTP (qui est solide), ou même d’un numéro généré automatiquement par une clé matérielle comme Yubikey (qui est assez sûre). Le 2FA est l’un des outils les plus puissants contre les attaques par hameçonnage, et je recommande vivement de l’activer sur tout compte sensible. Si vous avez déjà été la cible d’attaques d’hameçonnage, je vous recommande d’investir un peu de temps et d’argent sur des clés matérielles. Également appelées clés de sécurité ou clés U2F, il s’agit de petits appareils qui s’insèrent généralement dans un port USB et qui peuvent rendre vos comptes quasiment inviolables.

Méthodes

Évaluez les menaces auxquelles vous êtes confronté. Vous n’avez pas besoin de vous prémunir contre tous les dangers, mais seulement contre les menaces qui peuvent vous affecter. Pensez à votre travail et au type de surveillance numérique auquel vous pourriez être confronté. Pensez aux risques auxquels vous avez déjà été confronté, consultez des personnes exerçant le même type de travail et dressez une liste de scénarios. Dans chaque cas, réfléchissez à la manière dont vous pouvez améliorer votre sécurité. (Le manuel de Frontline Defenders sur la sécurité peut vous aider à comprendre ce processus). Si vous travaillez dans une rédaction ou au sein d’un réseau de journalistes, encouragez tout le monde à suivre ce processus. La sécurité numérique est un travail d’équipe.

Si vous ne pouvez pas être en sécurité tout le temps, compartimentez. Dans certains cas, il se peut que vous ne puissiez pas sécuriser suffisamment vos appareils ou vos comptes pour le travail que vous effectuez. Dans ce cas, pensez à compartimenter. Par exemple, utilisez un téléphone professionnel et un téléphone personnel différents, ou des comptes de messagerie électronique différents pour des projets différents. Si vous travaillez sur une enquête très sensible, envisagez d’avoir des appareils et des comptes dédiés à cette enquête. Vous pouvez également utiliser un système d’exploitation distinct, tel que Tails, qui est conçu pour vous protéger contre la censure et la surveillance. Si vous travaillez avec des données ou des fichiers extrêmement sensibles, vous pouvez utiliser un ordinateur isolé appelé « air gapped ». Il s’agit d’un appareil qui ne peut pas se connecter à des réseaux numériques tels que la Wifi ou Bluetooth, et qui est donc vraiment difficile à pirater.

Comprendre la sécurité numérique et savoir quand demander de l’aide. En tant que journaliste, votre objectif n’est pas de devenir un expert en sécurité numérique. Il vous faut cependant avoir des connaissances de base, telles que celles décrites dans ce chapitre, et savoir quand vous devez consulter un expert. Si vous le pouvez, développez un réseau de techniciens en qui vous avez confiance et qui peuvent vous aider lorsque vous êtes confronté à un problème ou à une nouvelle menace. Si vous vous lancez dans des recherches et des reportages plus médiatisés qu’à l’accoutumé, veillez à anticiper autant que possible. Il est toujours préférable de prévoir que de réagir.

Vous trouverez d’excellentes ressources en matière de sécurité numérique sur Surveillance Self-Defense, un portail de l’Electronic Frontier Foundation, ou sur le site Security in a Box de Frontline Defenders. GIJN propose également des ressources utiles sur ce sujet. Si, en tant que journaliste, vous avez besoin d’aide en matière de sécurité numérique, vous pouvez également contacter le service d’assistance téléphonique d’Access Now.

Études de cas

Les révélations d’Edward Snowden. Il est difficile de parler de surveillance numérique sans évoquer les révélations de Snowden, qui ont totalement modifié le paysage de la surveillance en attirant l’attention du monde entier sur l’espionnage pratiqué par l’Agence nationale de sécurité américaine (NSA). Les révélations, d’une ampleur extraordinaire, ont nourri des enquêtes pendant plus d’un an. Je recommande la lecture du résumé des révélations de Snowden publié par Lawfare et des archives de Snowden publiées par The Intercept. Pour une vue d’ensemble, le documentaire primé Citizenfour de Laura Poitras est également intéressant.

Le projet Raven. En janvier 2019, Reuters a révélé que les Émirats arabes unis avaient embauché d’anciens salariés de la NSA pour développer les capacités d’espionnage numérique offensif du pays. Ces outils ont ensuite servis à cibler des chefs d’État et des militants des droits de l’Homme.

Le projet Pegasus. En juillet 2021, un consortium de journalistes coordonné par Forbidden Stories, avec le Security Lab d’Amnesty International comme partenaire technique, a révélé les abus permis par le logiciel espion Pegasus de NSO Group. L’enquête est partie d’une liste de 50 000 numéros de téléphone surveillés par les clients de NSO dans 11 pays, dont l’Arabie saoudite, le Maroc, la Hongrie, l’Inde et le Mexique.

Au cœur de l’industrie mondiale du piratage. En 2022, le Bureau of Investigative Journalism, basé au Royaume-Uni, et le Sunday Times se sont infiltrés pour rencontrer des personnes au cœur de l’industrie des pirates informatiques en Inde. Cette enquête permet de comprendre comment les outils de piratage, autrefois réservés aux gouvernements, deviennent accessibles aux acteurs privés.

Story Killers. En 2023, le consortium Forbidden Stories a publié Story Killers, une série d’enquêtes sur le secteur de la désinformation. Même s’il ne s’agit pas directement de surveillance numérique, l’industrie de la désinformation et les techniques de surveillance numérique se chevauchent souvent.

Ressources complémentaires

Guide d’enquête sur les menaces numériques : cas de la désinformation

Enquêter sur les menaces numériques : l’infrastructure numérique

Conseils du projet Pegasus : Comment enquêter sur les logiciels espions prédateurs

Etienne « Tek » Maynier est chercheur en sécurité au sein du Security Lab d’Amnesty International. Il enquête sur les attaques numériques contre la société civile depuis 2016, et a publié de nombreuses enquêtes sur l’hameçonnage, les logiciels espions et les campagnes de désinformation. Pour en savoir plus, consultez son site web ou son compte Mastodon.