Armes de cybersurveillance : l'UE rend « plus stricts » les contrôles à l'export

Armes de cybersurveillance : l’UE rend « plus stricts » les contrôles à l’export

Géo « attrape-tout »

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

02/07/2021 12 minutes
0

Armes de cybersurveillance : l'UE rend « plus stricts » les contrôles à l'export

Alors que quatre marchands d'armes de cybersurveillance viennent d'être mis en examen pour « complicité de torture » en France, deux autres entreprises européennes sont accusées d'avoir fait commerce avec la Birmanie et la Colombie, peu regardantes en matière de droits humains. L'UE vient de son côté de renforcer ses contrôles à l'export.

Des documents fournis à The Intercept par Justice for Myanmar, un groupe de dissidents birmans, révèlent que la junte et la police birmanes avaient acheté des outils forensiques américains, chinois, russes mais également européens entre 2018 et 2021, permettant d'extraire des données de smartphones, d'accéder aux conversations téléphoniques et de surveiller les mouvements des personnes.

La société suédoise MSAB aurait ainsi vendu un outil, équivalent européen de Cellebrite (société israélienne connue pour ses dispositifs d'extraction téléphonique), susceptible de contourner le chiffrement des téléphones portables afin d'extraire les enregistrements d'appels, de contacts, GPS et autres, ainsi que les messages envoyés et reçus via SMS, WhatsApp, Signal et d'autres applications. 

L'outil serait également capable d'extraire les mots de passe et les jetons de connexion des appareils mobiles, permettant aux autorités d'accéder à distance aux services en ligne de quelqu'un, notamment Google, Facebook, etc.

MSAB a confirmé avoir vendu ses outils à la police du Myanmar en 2019, deux ans après que la junte avait perpétré un « génocide » envers le peuple musulman Rohingya, déplaçant quelque 740 000 personnes vers le Bangladesh voisin et selon aux enquêteurs des Nations Unies, tuant plus de 10 000 d'entre eux dans ce qui, selon l'ONU, pourrait constituer des « crimes contre l'humanité ».

Du mobile au palais de Justice

Interrogé à ce sujet, MSAB a déclaré que les licences avaient été annulées après le coup d'État de février 2021, qui a de son côté généré une brutale répression ayant causé la mort de plus de 860 manifestants et simples passants, ainsi que l'arrestation et la torture probable de milliers de prisonniers politiques. Mais également un blocage de Facebook, WhatsApp, Twitter et Instagram, le filtrage d'Internet et l'exploitation systématique des données des smartphones des personnes arrêtées.

Pour The Intercept, cette vente « soulève des questions importantes » au sujet des efforts de l'UE en matière de contrôle des ventes à l'export de biens à « double usage » vers des pays « où il existe un risque élevé d'abus, en particulier lorsque cette technologie est développée avec des fonds publics ».

L'UE avait en effet financé une partie du développement de la technologie vendue à MSA au Myanmar en 2019, via son programme phare de recherche technologique Horizon Europe, anciennement connu sous le nom d'Horizon 2020.

MSAB était en effet le principal partenaire technologique du projet « Formobile » (pour « From mobile phones to court »), un consortium de 19 entreprises, instituts de recherche et services de police. 

ForMobile

Son objectif est d'aider les services de police à déverrouiller les appareils mobiles sans le consentement de l'utilisateur, mais également d'extraire et analyser des données de téléphones utilisés par « des groupes criminels étrangers », tels que les cryptophones Encrochat, ECC ou Anom qui ont défrayé la chronique ces dernières années.

Christian Hummert, coordinateur du projet et directeur de la criminalistique numérique au ZITiS, l'Office central des technologies de l'information du ministère de l'Intérieur allemand, explique à The Intercept que la majeure partie des 7 millions d'euros de fonds publics de l'UE alimentaient directement les contributions de MSAB.

Comment contourner une interdiction

Une chose est que la Commission européenne finance des technologies sans contrôler ce qui en est fait. Une autre est que les instances de régulation nationale et internationale contrôlent, de leur côté, l'exportation de ce type de technologies, a fortiori à destination de pays peu respectueux des droits humains.

En l'espèce, si MSAB avait bien demandé l'autorisation de vendre ses produits au Myanmar, le régulateur suédois en charge du contrôle à l'exportation de ce type de technologies et « biens à double usage » (BDU, pouvant servir à des fins civiles et/ou militaires) lui avait opposé un refus, en raison de ses capacités de décryptage des messages chiffrés.

En réponse à ce qu'elle avait alors qualifié de « violations graves et systématiques des droits de l'homme » par les forces militaires et de sécurité du Myanmar, l'UE avait au surplus mis en place un embargo sur l'exportation des BDU en 2018, interdisant spécifiquement l'exportation d'« équipements de surveillance des communications qui pourraient être utilisés pour la répression interne ».

Les produits qui ont finalement été vendus au Myanmar l'année suivante n'étaient « pas les niveaux les plus puissants de notre technologie », a expliqué Mike Dickinson, directeur du développement commercial chez MSAB. 

Si les autorités birmanes ont bel et bien cherché à acheter les dernières mises à jour des produits MSAB, The Intercept estime qu'« il est peu probable que les résultats du projet Formobile aient été mis à jour pour les appareils médico-légaux MSAB au Myanmar avant février 2021, lorsque la société a déclaré avoir annulé les licences ».

Des armes « désactivables à distance » ?

Dans un billet publié sur le site Web de MSAB, le président de la société, Henrik Tjernberg, a depuis précisé que les produits n'avaient pas la capacité de briser le chiffrement d'un téléphone ni de récupérer les données supprimées :  

« Nous n'avons jamais vendu notre technologie à l'armée au Myanmar. Ils peuvent souhaiter l'acheter, mais nous ne vendons rien aux régimes oppressifs. Nous avons vendu quatre systèmes limités à seul utilisateur unique à la police lorsque la lauréate du prix Nobel de la paix Aung San Suu Kyi dirigeait le pays. »

À quoi The Intercept rétorque que « même pendant le mandat d'Aung San Suu Kyi, 25 % des sièges du Parlement étaient réservés à l'armée, qui a continué à exercer son influence ». De plus, en 2017, deux journalistes de Reuters avaient été arrêtés et emprisonnés pendant 500 jours pour avoir enquêté sur le meurtre par l'armée de 10 hommes et garçons musulmans Rohingyas, et leurs téléphones analysés par des outils de Cellebrite, le principal concurrent de MSAB.

Tjernberg précise également que les systèmes « ont été arrêtés lorsque le coup d'État militaire a commencé » :

« Comme toute technologie, nos plateformes peuvent tomber entre de mauvaises mains ou des tentatives sont faites pour utiliser notre technologie d'une manière qui va à l'encontre de nos valeurs. Lorsque cela se produit, nous agissons. C'est avec ces mêmes principes d'entreprise à l'esprit que MSAB a choisi de retirer ses services aux régimes qui ont tourné le dos à la démocratie. Plus important encore, nos systèmes sont conçus de manière à ce que leur utilisation puisse être limitée et arrêtée si nous déterminons qu'ils sont utilisés d'une manière qui va à l'encontre de nos valeurs. »

Une « surveillance de masse » des réseaux sociaux et du dark web

MSAB n'est pas la seule entreprise européenne à passer entre les mailles du filet. Une enquête de Wired révèle qu'une autre entreprise européenne, en partie financée par le Fonds de développement régional de l'UE, conçoit et vend elle aussi des logiciels espions utilisés pour cibler des défenseurs des droits humains.

Mollitiam Industries, une entreprise créée en 2018 et basée à Madrid fait en effet, d'après des documents vus par Wired, la promotion d'outils capables « d'interception anonyme et de contrôle à distance et invisible de cibles connectées à Internet ».

Surnommés « Invisible Man » et « Night Crawler », ils seraient capables d'accéder à distance aux fichiers, à l'emplacement d'une cible et d'allumer secrètement la caméra et le microphone d'un appareil, mais également d'enregistrer tout ce qui serait tapé sur le clavier.

Mollitiam commercialise également un outil qui, à l'en croire, permettrait une « surveillance de masse des profils et des identités numériques » sur les réseaux sociaux et le dark web.

Ses technologies sont régulièrement mises en avant lors des conférences ISS World, le salon international des marchands d'armes de surveillance numérique dont l'entrée est réservée aux représentants de gouvernements, forces de police et services de renseignement, et interdite au grand public, aux ONG tout comme aux journalistes.

Mollitiam Industries travaille également sur plusieurs projets en partie financés par le Fonds de développement régional de l'Union européenne. L'un d'entre eux, explique Wired, vise à créer une plate-forme de renseignement qui « extrait, analyse et met en corrélation de grandes quantités de données » des médias sociaux et du dark web. 

Sur la page d'accueil de son site web, Mollitiam Industries reconnaît devoir obtenir l'autorisation du gouvernement pour exporter certains de ses produits, et précise qu'il lui est interdit de faire commerce avec les pays sanctionnés par l'UE. 

Edin Omanovic, le directeur du plaidoyer de Privacy International, n'en a pas moins constaté qu'« à maintes reprises, nous avons vu le type de logiciel espion vendu par Mollitiam utilisé pour cibler des journalistes, des militants et d'autres ».

En janvier 2020, le magazine d'information colombien Semana avait de son côté publié des contrats laissant entendre que l'armée colombienne avait acheté « Invisible Man » l'année précédente pour près de trois milliards de pesos, soit plus de 670 000 euros. Selon Reporters sans frontières, la technologie a été utilisée pour cibler plusieurs journalistes du magazine, dont son rédacteur en chef.

Une clause contre la prolifération de cybersurveillance

L'Union européenne vient de son côté de mettre à jour son règlement « instituant un régime de contrôle des exportations, du courtage, de l'assistance technique, du transit et du transfert des biens à double usage ». 

Adopté le 20 mai dernier, publié au JO de l'UE le 10 juin, il entrera en application le 9 septembre prochain. Le texte de 461 pages, annexes comprises, est d'une complexité telle que seuls des « professionnels de la profession » du droit applicable aux biens à double usage seraient à même de l'interpréter.

Dans un (court) billet, trois partenaires et associés du cabinet d'avocats Allen & Overy ont tenté d'en résumer les principales nouveautés. Un nouveau mécanisme de coordination au niveau de l'UE devrait ainsi permettre un plus grand échange entre les États membres concernant l'exportation des solutions de cybersurveillance, de sorte d'en rendre les règles de contrôle à l'export « plus strictes » : 

« En vue de renforcer l’efficacité du contrôle des exportations de biens de cybersurveillance non répertoriés, il est essentiel d’harmoniser davantage l’application des contrôles "attrape-tout" dans ce domaine. À cette fin, les États membres s’engagent à soutenir ces contrôles en procédant à un échange d’informations entre eux et avec la Commission, notamment en ce qui concerne les évolutions technologiques relatives aux biens de cybersurveillance, et en faisant preuve de vigilance dans l’application de ces contrôles afin de promouvoir un échange au niveau de l’Union. »

Cette clause, dite « attrape-tout », prévoit que certains biens, non listés dans le règlement peuvent quand même être soumis à contrôle parce qu'ils sont susceptibles de contribuer à la prolifération des armes chimiques, biologiques ou nucléaires, ainsi qu'aux biens à double usage.

Le règlement précise en outre qu'« en ce qui concerne les biens de cybersurveillance, les autorités compétentes des États membres devraient tenir compte en particulier du risque qu’ils soient utilisés à des fins de répression interne ou dans le cadre de la commission de violations graves des droits de l’homme ou du droit humanitaire. »

Les contrôles viseront aussi à « lutter contre le risque que certains biens de cybersurveillance non répertoriés exportés au départ du territoire douanier de l’Union puissent être utilisés abusivement par des personnes complices ou responsables d’avoir ordonné ou commis des violations graves des droits de l’homme ou du droit humanitaire international » : 

« Les risques associés concernent notamment les cas où des biens de cybersurveillance sont conçus spécifiquement pour permettre l’intrusion ou l’inspection approfondie des paquets [DPI, la technologie vendue par Amesys et Nexa à la Lybie et à l'Égypte, ndlr] dans des systèmes d’information et de télécommunication afin de procéder à une surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte et l’analyse des données provenant de ces systèmes, y compris des données biométriques. »

Résultat de longues négociations entre le Parlement européen et le Conseil de l'UE, cette « refonte » du règlement précédent, adopté en 2009, « renforce considérablement la boîte à outils de contrôle des exportations de l'UE », estime Allen & Overy : 

« L'UE sera en mesure de réagir efficacement à l'évolution des risques de sécurité et aux nouvelles technologies. »

Une bonne partie des marchands d'armes de surveillance devraient eux aussi se satisfaire de l'adoption de ce règlement. En clarifiant ce qu'ils ont le droit de faire, et en renforçant les responsabilités des autorités, ils bénéficieront en effet d'un environnement assaini, et donc d'un horizon apaisé. Jusqu'au prochain scandale...

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Du mobile au palais de Justice

Comment contourner une interdiction

Des armes « désactivables à distance » ?

Une « surveillance de masse » des réseaux sociaux et du dark web

Une clause contre la prolifération de cybersurveillance

Commentaires (0)