Après Pegasus, y aura-t-il un scandale Cellebrite ou NoviSpy ? Ce lundi 16 décembre, Amnesty International publie un rapport dans lequel l’ONG décrit des cas de logiciels espions discrètement installés par la police serbe pendant des interrogatoires ou des passages au poste de journalistes ou d’activistes, en dehors de toute procédure judiciaire.
« Les autorités serbes ont déployé des technologies de surveillance et des tactiques de répression numérique (…) », conduisant à « une répression dirigée contre la société civile », a déclaré Dinushika Dissanayake, directrice régionale adjointe d’Amnesty International pour l’Europe, citée dans le communiqué de l’ONG.
Une installation en deux temps lors d’un passage au poste de police
Cette « répression », Slaviša Milanov, journaliste serbe, en a personnellement fait les frais, rapporte l’association. En février dernier, l’enquêteur indépendant est arrêté par la police de la route dans le sud-est de la Serbie, en apparence pour de simples tests de dépistage de drogues et d’alcool. Contraint de se rendre au poste, il doit laisser son téléphone dans une salle… appareil qu’il ne récupérera que deux heures et demi plus tard, après des tests négatifs. Pendant ce laps de temps, rapporte Amnesty International à qui il a confié son appareil après avoir été intrigué par des changements dans les paramètres, son téléphone est passé dans les mains d’experts de la police locale. Il a été déverrouillé de force à l’aide d’outils de Cellebrite, une société israélienne qui vend ses produits dans le monde entier.
Une fois déverrouillé, c’est NoviSpy, un système d’espionnage Android sur mesure, qui est installé. Cet outil permet d’activer à distance le microphone ou l’appareil photo d’un téléphone : un moyen de capturer des données sensibles et de mettre en place une surveillance accrue du journaliste, dont les articles ont montré l’utilisation illicite de fonds publics par des autorités locales, rapporte le Washington Post ce lundi. Même topo pour un activiste environnemental serbe, Nikola Ristić, dont le smartphone a aussi été analysé par Amnesty International, après un passage dans un poste de police. Cellebrite puis NoviSpy y ont été retrouvés.
Pour Cellebrite, ses logiciels doivent être déployés pour des usages exclusivement « légaux »
De quoi alarmer l’ONG, qui estime que des produits fabriqués par Cellebrite, largement utilisés par la police et les services de renseignement dans le monde entier, « peuvent représenter un risque énorme pour les défenseurs des droits humains, de l’environnement et de la liberté d’expression ». En particulier « lorsqu’ils sont utilisés en dehors d’un contrôle et d’une surveillance juridiques stricts », écrit l’organisation dans son communiqué.
Avant la publication de son rapport, Amnesty International explique avoir contacté les chercheurs en sécurité d’Android et de Google pour qu’ils suppriment le logiciel espion des appareils Android concernés. Google a également envoyé une série d’alertes aux personnes identifiées comme des cibles potentielles.
De son côté, Cellebrite a déclaré à Amnesty International et au Washington Post qu’elle cherchait à savoir si la Serbie avait bien respecté son accord de licence. Selon ce contrat, ses logiciels doivent être utilisés dans un cadre « strictement légal, nécessitant un mandat (d’un juge NDLR) ou un consentement (du propriétaire du smartphone, NDLR) pour aider les organismes chargés de l’application de la loi à mener des enquêtes après qu’un crime a été commis ». La société israélienne a ajouté qu’elle pourrait, en cas de violation, rendre ses outils inopérants dans ce pays, comme elle l’a fait auparavant pour la Chine et la Russie.
Pour John Scott-Railton de Citizen Lab, les entreprises qui développent ce type de logiciels bénéficiaient jusqu’à présent « d’une certaine immunité, en partie parce qu’elles ont été associées à des activités de surveillance autorisées par la loi ». Mais après l’affaire Pegasus et ces nouveaux cas d’utilisation illicite par des forces de l’ordre en Europe, « il n’est plus possible pour les entreprises qui fabriquent cette technologie de faire comme si elles n’étaient pas au courant des abus », estime-t-il dans les colonnes du Washington Post.
À lire aussi : 1400 smartphones piratés via WhatsApp : le bilan du spyware Pegasus se confirme
Des failles de sécurité aussi détectées par Amnesty International
Outre Atlantique, la police peut, sur la base d’un mandat d’un juge, utiliser ces logiciels pour extraire des informations de smartphones. Mais pour l’ONG, ces outils « peuvent devenir les principaux instruments d’une répression numérique, susceptible d’être reproduite dans d’autres pays et d’autres contextes, ce qui est peut-être déjà en train de se produire ».
À noter qu’Amnesty International a aussi mis à jour des failles de sécurité jusqu’ici inconnues dans un pilot Android, pour les téléphones fonctionnant avec des puces Qualcomm. C’est ce qui aurait permis à Cellebrite d’accéder à une plus grande partie des données internes des smartphones ciblés. Dans un billet de blog du dimanche 15 décembre, les équipes de sécurité informatique Project Zero de Google, le fabricant d’Android, ont confirmé ces éléments. Elles ont précisé avoir averti Qualcomm il y a plus de trois mois. Or selon ces dernières, toutes les failles de sécurité n’ont pas encore été corrigées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
