Au Mexique, des journalistes d’investigation et des défenseurs des droits de l’homme ont été les cibles de tentatives sophistiquées de pirater leurs smartphones, a révélé voici quelques jours une enquête menée par le groupement pour la liberté de la presse, “Article 19”, et par des chercheurs spécialisés dans la sécurité sur l’internet.
Le système utilisé dans l’attaque s’appelle Pegasus et il est fabriqué par une société israélienne dont on sait peu de chose en dehors de son nom : NSO Group.
Le mode de fonctionnement est le suivant : la cible reçoit un message texte, personnel en apparence ou qui peut contenir un message urgent à propos d’un membre de sa famille. Le message est accompagné d’un lien. Si la cible clique sur le lien, le système installe un malware – un logiciel malveillant qui opère sans qu’on le détecte – sur son appareil, lequel se transforme efficacement en une arme contre elle et ses proches.
Un expert en sécurité numérique a expliqué sur The Electronic Intifada que les activistes et journalistes impliqués dans un travail en Palestine ou concernant la Palestine devraient comprendre ces dangers et prendre des mesures pour se rendre moins vulnérables.
Une fois infecté par un malware, un smartphone peut renvoyer une quantité effrayante de données à ceux qui l’espionnent, y compris le traçage des mouvements de la personne et de l’endroit où elle se trouve. Le malware peut faire des captures d’écran et allumer la caméra et le micro du téléphone, retrouver des mails, des messages Whatsapp et des mots de passe.
Moqueries sexuelles et menaces
Citizen Lab (le laboratoire citoyen), de l’Université de Toronto, a découvert que, dans le cas du Mexique, les cibles, parmi lesquelles une dizaine de journalistes et de défenseurs des droits de l’homme, un enfant et un citoyen américain, avaient reçu des messages textes, avec les liens du malware « associés à des railleries personnelles et sexuelles embarrassantes, des messages imitant des communications officielles », ainsi que des « mises en garde contre des enlèvements et d’autres menaces ».
Ces communications comprenaient également des « procédés plus terre-à-terre, tels des messages envoyant de fausses factures pour services téléphoniques et des lignes sexuelles ».
Carmen Aristegui, l’une des journalistes d’investigation les plus influentes du Mexique, a été ciblée par des messages imitant l’ambassade des États-Unis et lui demandant de cliquer sur un lien afin de résoudre une question de visa. Mais quand il est apparu que, même répétés, les messages ne la décidaient toujours pas à cliquer sur les liens, les opérateurs se sont mis à cibler son fils de 16 ans.
« La seule raison de s’en prendre à mon fils, c’est l’espoir de trouver quelque chose contre moi », a déclaré Aristegui dans le New York Times.
Juan E. Pardinas, un activiste préconisant une législation sévère contre la corruption, a reçu un message des plus troublants, accompagné d’un lien : « Mon père est mort à l’aube, nous sommes effondrés, je vous envoie les détails de la veillée funèbre, j’espère que vous pourrez venir. » Soupçonneux, il a décidé de ne pas cliquer sur le lien, a-t-il expliqué dans le New York Times.
Les « cyberarms » israéliens
Selon Citizen Lab, l’expéditeur des messages textes ne peut être positivement identifié ; toutefois, « des preuves circonstantielles » suggèrent qu’un ou plusieurs clients gouvernementaux de NSO Group au Mexique seraient les « opérateurs probables ».
Depuis 2011, selon le The New York Times, des agences du gouvernement mexicain « ont acheté pour quelque 80 millions de dollars de logiciels espions créés par le fabricant israélien de cyberarmes », NSO Group.
NSO Group prétend qu’il ne vend ses services qu’à des clients gouvernementaux et à des fins légitimes, telle la lutte contre le crime organisé et le « terrorisme ».
Dans leur argumentaire de vente, les exécutifs de la société prétendent, dit-on, que le gouvernement mexicain a utilisé leur logiciel espion pour coffrer le fameux baron de la drogue Joaquín « El Chapo » Guzmán, une allégation dont le site technologique CyberScoop affirme qu’elle ne pourrait être vérifiée indépendamment.
Mais Citizen Lab déclare qu’il a « découvert de façon répétée des abus du spyware de NSO, ce qui prouve l’incapacité de la firme à contrôler les usages finaux de ses produits ».
« L’usage abusif des produits de NSO fait partie d’un problème plus vaste », déclare Citizen Lab, « l’abus exclusif par les gouvernements des logiciels espions pour cibler des individus et des organisations qui ne sont ni des criminels ni des terroristes, mais des membres de la société civile. »
En août 2016, le défenseur des droits de l’homme, Ahmed Mansoor, installé aux Émirats arabes unis, recevait sur son iPhone des messages textes lui promettant de « nouvelles révélations secrètes » sur les prisonniers torturés par les EAU, s’il cliquait sur un lien inclus.
Mansoor transmit le message àCitizen Lab, qui découvrit qu’il avait été ciblé au moyen du malware Pegasus, de NSO Group. C’est Apple qui fournit des composantes destinées à remédier aux problèmes particuliers de vulnérabilité sécuritaire identifiés lors de l’examen par Citizen Lab de la tentative de piratage contre Mansoor.
Mansoor, qui s’est vu décerner un important prix international des droits de l’homme en 2015, a été arrêté en mars par les autorités des EAU pour des cybercrimes supposés, telle l’utilisation des médias sociaux pour « publier des informations fausses et trompeuses ».
Il avait déjà été arrêté et condamné auparavant, en 2011, après ce qu’Amnesty International avait qualifié de « procès inique ». Cette fois, Amnesty affirme que Mansoor est un « prisonnier de conscience » et réclame sa libération immédiate.
Qu’est-ce que NSO ?
NSO Group fait partie d’un réseau de sociétés israéliennes, dont bon nombre ont été créées par d’anciens espions et militaires, et qui vendent des technologies visant à s’infiltrer dans les communications.
Selon Forbes, ses fondateurs Omri Lavie et Shalev Hulio sont sans doute d’anciens membres de l’Unité 8200, la fameuse section de guerre cybernétique de l’armée israélienne.
La société, dont le siège se trouve à Herzliya, sur l’actuel territoire d’Israël, tient à demeure la plus étanche possible; ses fondateurs s’adressent rarement aux médias et d’anciens employés ont refusé de divulguer des informations sur ses activités, par crainte de représailles, disent-ils.
En 2014, NSO Group a été racheté par la société américaine à capitaux privés Francisco Partners pour 120 millions de dollars, bien que son quartier général et ses « droits de propriété intellectuelle » soient restés en Israël, selon Haaretz.
Aujourd’hui, Francisco Partners remet la société en vente au prix de 1 milliard de dollars, paraît-il. Une tentative précédente de la revendre, en 2015, n’avait apparemment pas trouvé d’acheteur.
Les activistes propalestiniens sont-ils menacés ?
Israël a déclaré une guerre totale contre le mouvement de solidarité avec laPalestine – spécialement contre la campagne BDS – et c’est une offensive qui implique des opérations sous le manteau et secrètes ciblant des activistes.
Au vu de cette réalité, qu’est-ce que les révélations à propos du malware de NSO Group signifient pour le mouvement de solidarité avec la Palestine ?
Eva Galperin, directrice de la cyber-sécurité à la fondation Electronic Frontier et défenseure de premier plan des libertés civiles dans le monde numérique, propose une analyse très posée.
« Je pense qu’il est extrêmement peu probable que les activistes de la solidarité avec la Palestine seront ciblés par les produits de NSO Group », a-t-elle déclaré dans The Electronic Intifada, « mais ils le seront par exactement les mêmes genres de produits conçus directement par le gouvernement israélien. »
« Les activistes devraient être conscients des malwares sponsorisés par l’État », a-t-elle précisé.
Galperin fait remarquer que les Palestiniens résidant dans les territoires sous contrôle israélien – particulièrement en Cisjordanie occupée et dans la bande de Gaza – vivent dans une situation où toute l’infrastructure d’Internet et de la communication est sous contrôle israélien total.
« Ils peuvent intercepter tous vos échanges et même vous adresser de fausses informations », a expliqué Galperin, « de sorte que ce genre de ciblage n’est même pas nécessaire. »
Cela signifie qu’Israël est capable d’espionner librement les communications des individus dans le territoire qu’il contrôle, sans avoir besoin d’utiliser des malwaressemblables à ceux fabriqués par NSO Group.
Certaines preuves montrent que c’est déjà le cas. En 2014, des dizaines de vétérans et de réservistes de la section de guerre cybernétique israélienne, l’Unité 8200, révélaient que l’unité déployait ses capacités pour collecter des informations personnelles et intimes sur des civils palestiniens vivant sous l’occupation et que ces informations étaient « utilisées à des fins de poursuites politiques et pour créer des divisions au sein de la société palestinienne en recrutant des collaborateurs et des éléments moteurs de cette même société pour les retourner contre elle ».
Selon Galperin, Israël serait plus susceptible de tenter d’utiliser des malwares « en dehors d’Israël ou de la Palestine, où il ne contrôle pas les infrastructures ».
Mais il est très malaisé de dire si c’est déjà le cas aujourd’hui, et à quel point.
« Nous ne les attrapons pas très souvent », a ajouté Galperin. « Cela ne signifie pas nécessairement que cela arrive rarement ». Jusqu’à présent, Pegasus, qui cible les iPhones, n’a été détecté que dans les cas du Mexique et des Émirats arabes unis.
Chyrsaor, un malware similaire dont on pense qu’il est produit par NSO Group dans le but de cibler des téléphones utilisant le système d’exploitation Android de Google, n’a été découvert, selon Google, que dans trois douzaines d’appareils dans le monde – sur 1,4 milliard.
Le système de NSO Group n’a rien de bon marché : on dit qu’il coûte des dizaines de milliers de dollars par cible, en sus des « frais d’installation » de 500.000 dollars, peut-on lire dans le New York Times.
Galperin a expliqué qu’elle soupçonnait que le gouvernement israélien n’estimait pas souvent nécessaire d’utiliser des malwares, du fait qu’il disposait de tant d’autres options pour garder la trace des gens – y compris le contrôle des médias sociaux et le recours à des informateurs.
D’autres types de guerre cybernétique contre le mouvement ont également compris les attaques DDoS (“distributed denial of service” [qui consiste à saturer les connexions d’un serveur sur l’internet en lui faisant envoyer simultanément un nombre de requêtes tel qu’il est incapable d’y faire face et “plante”]), qui bloquent des sites Internet et qui ont été liées à Israël.
La pratique d’une bonne sécurité
Il n’est pas possible de se protéger à 100%, met en garde Galperin. « S’ils ont décidé que vous étiez spécifiquement une cible et qu’ils veulent concentrer sérieusement de la main-d’œuvre sur vous, les conseils que je donne sont hélas insuffisants », dit-elle. « Mais vous pouvez faire de vous une cible plus difficile à atteindre».
Voici ses conseils :
Installez toujours immédiatement les mises à jour de sécurité sur tous vos appareils. La plupart des malwares exploitent les failles de sécurité connues qui restent ouvertes parce que les gens n’installent pas leurs mises à jour.
Protégez vos comptes sensibles à l’aide de mots de passe longs, forts et uniques et utilisez un gestionnaire de mots de passe.
Utilisez une authentification à deux facteurs pour vos comptes sensibles. C’est une manière d’obliger un utilisateur à s’identifier auprès d’un fournisseur des services en requérant une combinaison de deux méthodes d’identification différentes. Les messages textes SMS sont fréquemment utilisés comme deuxième mode d’identification, mais la fondation Electronic Frontier met en garde contre le fait que les SMS peuvent ne pas être sûrs et elle conseille donc de recourir à d’autres méthodes, comme un petit appareil appelé Yubikey.
En général, les journalistes et les activistes ont besoin de pratiquer une bonne sécurité digitale, pas uniquement sur leurs smartphones, mais aussi sur tous leurs appareils et dans toutes leurs activités en ligne.
C’est le moment approprié pour relire le guide à l’usage des activistes sur la sécurité en ligne [1] publié par The Electronic Intifada et qui a été rédigé par Jillian C. York, de la fondation Electronic Frontier.