Depuis plus d’une décennie, des dizaines de journalistes et de militants des droits humains ont été ciblés et piratés par les gouvernements du monde entier. Des policiers et des espions en Éthiopie, en Grèce, en Hongrie, en Inde, au Mexique, en Pologne, en Arabie Saoudite et aux Émirats arabes unis, entre autres, ont utilisé des logiciels espions sophistiqués pour compromettre les téléphones de ces victimes, qui ont parfois également été confrontées à des violences réelles, étant intimidées, harcelées et, dans des cas extrêmes, même assassinées.
Au cours des dernières années, dans la lutte pour protéger ces communautés à plus haut risque, une équipe d’une douzaine d’experts en sécurité numérique, principalement basés au Costa Rica, à Manille et en Tunisie, entre autres, a joué un rôle clé. Ils travaillent pour Access Now, une organisation à but non lucratif basée à New York, en particulier pour sa ligne d’assistance sur la sécurité numérique.
Leur mission est d’être une équipe de personnes vers laquelle les journalistes, les défenseurs des droits humains et les dissidents peuvent s’adresser s’ils soupçonnent qu’ils ont été piratés, par exemple avec des logiciels espions mercenaires créés par des sociétés comme NSO Group, Intellexa ou Paragon.
« L’idée est de fournir ce service 24h/24 et 7j/7 à la société civile et aux journalistes afin qu’ils puissent nous contacter chaque fois qu’ils ont… un incident de cybersécurité », a déclaré à TechCrunch Hassen Selmi, qui dirige l’équipe de réponse aux incidents de la Helpline.
Selon Bill Marczak, chercheur principal au Citizen Lab de l’Université de Toronto qui enquête sur les logiciels espions depuis près de 15 ans, la ligne d’assistance Access Now est une « ressource de première ligne » pour les journalistes et autres personnes susceptibles d’avoir été ciblées ou piratées par des logiciels espions.
La ligne d’assistance téléphonique est devenue un canal essentiel pour les victimes. À tel point que lorsqu’Apple envoie à ses utilisateurs une soi-disant « notification de menace » les avertissant qu’ils ont été la cible d’un logiciel espion mercenaire, le géant de la technologie oriente depuis longtemps les victimes vers les enquêteurs d’Access Now.
En parlant avec TechCrunch, Selmi a décrit un scénario dans lequel quelqu’un reçoit l’une de ces notifications de menace et dans lequel Access Now peut aider les victimes.
« Avoir quelqu’un qui pourrait leur expliquer, leur dire ce qu’ils doivent faire, ce qu’ils ne doivent pas faire, ce que cela signifie… C’est un grand soulagement pour eux », a déclaré Selmi.
Selon plusieurs experts en droits numériques qui ont enquêté sur des cas de logiciels espions et se sont déjà entretenus avec TechCrunch, Apple adopte généralement la bonne approche, même si l’optique ressemble à un géant de la technologie valant des milliards de dollars se déchargeant de sa responsabilité sur une petite équipe de travailleurs à but non lucratif.
Selon Selmi, le fait d’être mentionné par Apple dans les notifications était « l’une des étapes les plus importantes » pour la ligne d’assistance.
Selmi et ses collègues examinent désormais chaque année environ 1 000 cas d’attaques présumées de logiciels espions gouvernementaux. Environ la moitié de ces cas donnent lieu à de véritables enquêtes, et seulement environ 5 % d’entre eux, soit environ 25, aboutissent à un cas confirmé d’infection par un logiciel espion, selon Mohammed Al-Maskati, directeur de la ligne d’assistance.
Lorsque Selmi a commencé à effectuer ce travail en 2014, Access Now enquêtait seulement sur une vingtaine de cas d’attaques présumées de logiciels espions par mois.
À l’époque, trois ou quatre personnes travaillaient dans chaque fuseau horaire au Costa Rica, à Manille et en Tunisie, des lieux qui leur permettaient d’avoir quelqu’un en ligne toute la journée. L’équipe n’est pas beaucoup plus grande aujourd’hui, avec moins de 15 personnes travaillant pour la ligne d’assistance. La ligne d’assistance téléphonique compte davantage de personnes en Europe, au Moyen-Orient, en Afrique du Nord et dans la région subsaharienne, étant donné que ces régions sont des points chauds pour les cas de logiciels espions, selon Selmi.
L’augmentation des cas, a expliqué Selmi, est due à plusieurs circonstances. D’une part, la ligne d’assistance est désormais plus connue et attire donc plus de personnes. Ensuite, à mesure que les logiciels espions gouvernementaux se mondialisent et deviennent plus disponibles, les cas d’abus sont potentiellement plus nombreux. Enfin, l’équipe de la ligne d’assistance a davantage sensibilisé les populations potentiellement ciblées, trouvant des cas d’abus qu’elles n’auraient peut-être pas découverts autrement.
Contactez-nous
Avez-vous reçu une notification d’Apple, de Google ou de WhatsApp concernant la cible d’un logiciel espion ? Ou avez-vous des informations sur les créateurs de logiciels espions ? Nous aimerions avoir de vos nouvelles. Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Lorsque quelqu’un contacte la ligne d’assistance, a déclaré Selmi à TechCrunch, ses enquêteurs accusent d’abord réception, puis ils vérifient d’abord si la personne qui l’a contacté relève du mandat de l’organisation, c’est-à-dire si elle fait partie de la société civile – et non, par exemple, un dirigeant d’entreprise ou un législateur. Ensuite, les enquêteurs évaluent le cas en triage. Si un cas est prioritaire, les enquêteurs posent des questions, par exemple pourquoi la personne pense avoir été ciblée (en l’absence de notification) et quel appareil elle possède, ce qui permet d’établir le type d’informations que les enquêteurs pourraient avoir besoin de collecter à partir de l’appareil de la victime.
Après une première vérification limitée de l’appareil effectuée à distance via Internet, les gestionnaires et les enquêteurs de la ligne d’assistance peuvent demander à la victime d’envoyer davantage de données, comme une sauvegarde complète de son appareil, pour effectuer une analyse plus approfondie et rechercher des signes d’intrusion.
« Pour chaque type d’exploit connu qui a été utilisé au cours des cinq dernières années, nous disposons d’un processus permettant de vérifier cet exploit », a déclaré Selmi, faisant référence aux techniques de piratage connues.
« Nous savons plus ou moins ce qui est normal et ce qui ne l’est pas », a déclaré Selmi.
Les gestionnaires d’Access Now, qui gèrent la communication et parlent souvent la langue de la victime, donneront également à la victime des conseils sur ce qu’elle doit faire, par exemple si elle doit se procurer un autre appareil ou prendre d’autres précautions.
Chaque cas examiné par l’organisation à but non lucratif est unique. « C’est différent d’une personne à l’autre, d’une culture à l’autre », a déclaré Selmi à TechCrunch. « Je pense que nous devrions faire plus de recherches, impliquer davantage de personnes – pas seulement des techniciens – pour savoir comment traiter ce type de victimes. »
Selmi a déclaré que la ligne d’assistance soutient également des équipes d’enquête similaires dans certaines régions du monde, partageant de la documentation, des connaissances et des outils, dans le cadre d’une coalition appelée CiviCERT, un réseau mondial d’organisations qui peuvent aider les membres de la société civile qui soupçonnent avoir été ciblés par des logiciels espions.
Selmi a déclaré que ce réseau a également aidé à atteindre des journalistes et d’autres personnes dans des endroits où ils ne pourraient pas se rendre autrement.
« Peu importe où elles se trouvent, (les victimes) ont des personnes à qui parler et à qui faire rapport », a déclaré Selmi à TechCrunch. « Le fait que ces personnes parlent leur langue et connaissent leur contexte a beaucoup aidé. »

