L’ère des mercenaires numériques

“Mon ordinateur avait été arrêté avant moi”. C’est le constat lucide d’un activiste syrien arrêté et torturé par le régime de Bachar al-Assad. Pris dans les filets de la surveillance en ligne, Karim Taymour explique à un journaliste de Bloomberg [1] s’être vu présenter lors de son interrogatoire une pile de plus de 1000 pages détaillant ses conversations électroniques et ses fichiers échangés sur Skype. Ses bourreaux savaient manifestement autant de lui que s’ils s’étaient trouvés dans sa chambre, ou plutôt dans son ordinateur.

La surveillance en ligne représente un danger grandissant pour les journalistes, blogueurs, citoyens-journalistes et défenseurs des droits de l’homme. En 2011, Wikileaks rendait publics les Spyfiles, des documents qui montrent l’étendue du marché de la surveillance et le poids financier qu’il représente (plus de 5 milliards de dollars), ainsi que la sophistication des produits proposés.

La surveillance traditionnelle n’a pas du tout disparu. Des policiers continuent de rôder près des cybercafés en Erythrée, les dissidents vietnamiens sont suivis et parfois pris à partie par des policiers en civil, le cyber-dissident chinois Hu Jia et son épouse Zeng Jinyang ont dû supporter des policiers stationnés en permanence au bas de leur immeuble pendant des mois. Les mises sur écoutes téléphoniques des journalistes trop curieux ont grandement facilité le travail des services de renseignement. Mais aujourd’hui, les possibilités offertes par la surveillance en ligne élargissent le champ des possibles pour les gouvernements.

L’édition 2013 du rapport sur les Ennemis d’Internet traite de la surveillance, au sens de l’activité de veille destinée à contrôler les voix dissidentes et la diffusion d’informations sensibles, une activité instrumentalisée pour conforter les pouvoirs en place et prévenir toute déstabilisation potentielle.

Le 12 Mars, Journée mondiale contre la cybercensure, une première liste de 5 “Etats ennemis d’Internet” est rendue publique. Elle recense des Etats engagés dans une surveillance active, intrusive, des acteurs de l’information, permettant de graves violations de la liberté de l’information et des  droits de l’homme. Il s’agit de la Syrie, de la Chine, de l’Iran, du Bahreïn et du Vietnam.

Une liste de 5 “Entreprises ennemies d’Internet”, autrement dit de “mercenaires de l’ère digitale”, est également publiée. Gamma, Trovicor, Hacking Team, Amesys et Blue Coat ont été sélectionnées pour ce recensement non exhaustif, appelé à s’allonger dans les prochains mois. Leurs produits ont été ou sont utilisés par les autorités pour commettre des violations des droits de l’homme et de la liberté de l’information. A l’instant même où ces entreprises ont entrepris de commercer avec des régimes autoritaires, elles ne pouvaient ignorer que leurs produits pourraient être utilisés pour surveiller des journalistes, dissidents ou net-citoyens. Lorsque ces produits de surveillance numérique ont été vendus à un régime autoritaire par un intermédiaire sans que la société éditrice n’en soit informée, l’incapacité de celle-ci à tracer les ventes et exportations de ses propres logiciels est révélateur de l'absence de prise en compte par ces entreprises du risque d’utilisation détournée de leurs technologies et de la vulnérabilité des défenseurs des droits de l’homme.

Des enquêtes menées par Bloomberg, le Wall Street Journal, et les chercheurs du Citizen Lab de l’Université de Toronto ont révélé que des technologies de surveillance utilisées contre des dissidents et militants des droits de l’homme dans des pays comme l’Egypte, le Bahreïn et la Libye provenaient d’entreprises occidentales. Deux types de produits fournis par les entreprises sont épinglées dans ce rapport : du matériel d’écoute à grande échelle pour surveiller le réseau dans son ensemble, des logiciels espions (spyware) et autres dispositifs permettant de mettre en place une surveillance ciblée.

Ces logiciels espions sont utilisés pour espionner le contenu d’autres disques durs, récupérer des mots de passe, accéder au contenu de messageries électroniques ou espionner des communication de VOIP. Ils peuvent être installés directement sur les ordinateurs ou via le réseau Internet par l’intermédiaire de fausses mises-à-jour ou de pièces jointes dans un e-mail sans que l’utilisateur ne s’en aperçoive. L’usage civil de ce genre de programme est limité. Certains fabricants fournissent directement des acteurs étatiques tels que les services secrets et les services de sécurité ; d’autres n’hésitent pas à faire publicité de leurs capacités à surveiller et traquer les opposants politiques. Dans les régimes autoritaires, ce système est utilisé pour espionner les journalistes et leurs sources afin d’éradiquer la liberté d’information.

Un double emploi peut être fait de certaines technologies ; utilisées à des fins légitimes de lutte contre le cybercrime, elles se transforment en redoutables outils de censure et de surveillance contre les défenseurs des droits de l’homme et les acteurs de l’information lorsqu’elles sont utilisées par des régimes autoritaires. Le manque d’encadrement du commerce de ces ‘armes digitales’ permet à des gouvernements autoritaires d’identifier des (citoyens-)journalistes pour s’en prendre à eux.

Reporters sans frontières demande la mise en place d'un contrôle de l’exportation de technologies et matériel de surveillance vers des pays qui bafouent les droits fondamentaux. Une telle démarche ne saurait être laissée au secteur privé. Le législateur doit intervenir. L’Union européenne et les Etats-Unis ont interdit l’exportation de technologies de surveillance vers l’Iran et la Syrie. Une décision louable qui ne saurait rester un acte isolé. Les gouvernements européens doivent adopter une approche harmonisée pour contrôler l’exportation des technologies de surveillance.  L’administration Obama doit également adopter ce type de législation, tel le Global Online Freedom Act (GOFA).

Des négociations entre gouvernements avaient pourtant déjà eu lieu, se soldant par l’arrangement de Wassenaar conclu en juillet 1996, qui vise à promouvoir « la transparence et une plus grande responsabilité dans les transferts d’armes et de biens à double usage afin de prévenir les accumulations déstabilisantes ». Il regroupe aujourd’hui 41 pays dont la France, l’Allemagne, le Royaume Uni et les États-Unis.

Les démocraties semblent céder progressivement aux sirènes de la surveillance nécessaire et de la cybersécurité à tout prix. En témoigne la multiplication de projets et propositions de lois potentiellement liberticides, permettant la mise en place d’une surveillance généralisée. FISAA et CISPA aux Etats-Unis, British Communications Data Bill au Royaume-Uni, Wetgeving bestrijding cybercrime aux Pays-Bas, autant de textes qui sacrifient la liberté d’expression sur Internet sur l’autel de la lutte contre le cybercrime (pour plus d’informations, lire le chapitre “Tour d’horizon de la cybercensure”). L’adoption par des régimes traditionnellement respectueux des droits de l’homme de ce type de législations liberticides donnerait des arguments aux dirigeants de pays répressifs qui se dotent d’un arsenal législatif contre les voix critiques.

C’est le modèle d’Internet tel que conçu par ses fondateurs, espace d’échanges et de libertés, transcendant les frontières, qui est remis en cause par l’accélération de la cyber-censure et la banalisation de la cyber-surveillance. D’autant qu’Internet fait les frais des luttes d’influence entre Etats. La généralisation de la surveillance est l’un des enjeux majeurs des acteurs qui se battent pour contrôler la gouvernance du Net. Lors de la conférence mondiale des télécommunications de Dubaï en décembre 2012, la Chine a soutenu une proposition destinée à étendre de manière drastique le contrôle de l’ITU sur Internet. La Chine avait l’appui de la Russie, de l’Arabie Saoudite, de l’Algérie et du Soudan pour remettre en cause entre autres le rôle de l’ICANN dans l’attribution des noms de domaines et des plages d’adresse IP, la protection de “la sécurité physique et opérationnelle des réseaux”, lutilisation du DPI dans les réseaux de nouvelle génération [2].

L’équation est compliquée pour les acteurs de l’information, pris en étau entre d’une part le besoin de protection personnelle et de sécurité de leurs sources en ligne, et d’autre part la nécessité de collecter et faire circuler l’information. La protection des sources ne relève plus seulement de l’éthique des journalistes, elle dépend de plus en plus de leur maîtrise de leur ordinateur comme le note le spécialiste en cybersécurité Chris Soghoian dans un éditorial publié dans le New York Times.

Avant de partir sur le terrain, s’il est soucieux de sa sécurité physique, le reporter de guerre se munit d’un casque et d’un gilet pare-balles. De même, tout journaliste devrait se munir d’un “kit de survie numérique” dès qu’il stocke ou échange des informations sensibles en ligne, sur son ordinateur ou sur son téléphone portable. Ce kit, développé progressivement par Reporters sans frontières sur le site WeFightCensorship, met en avant la nécessité de nettoyer ses documents des métadonnées souvent trop bavardes, explique comment utiliser le réseau Tor ou des réseaux privés virtuels (VPN) pour anonymiser les communications, dispense des conseils pour sécuriser les communications et les données sur les terminaux mobiles etc..

Journalistes et net-citoyens doivent apprendre à mieux estimer les risques potentiels de surveillance et le type de données ou de communications à protéger afin de trouver la solution adaptée à leur situation, et si possible simple d’utilisation. Face à la sophistication des moyens déployés par censeurs et services de renseignements, l’ingéniosité des acteurs de l’information et des hacktivistes qui les épaulent est mise à rude épreuve. Mais de l’issue de leur bras de fer dépend l’avenir de la liberté d’informer. Un combat sans bombes, sans barreaux de prisons, sans encarts blanchis dans les journaux, mais un combat où, si l’on n’y prend pas garde, les ennemis de la réalité et des vérités pourraient imposer une domination absolue.

Note : Le rapport 2013 sur les “Ennemis d’Internet” se distingue des précédents éditions : il ne prétend pas couvrir de manière exhaustive toutes les formes de cybercensure dans l'ensemble des pays du monde, mais se concentre sur la thématique de la surveillance en ligne. Le rapport 2013 analyse de manière approfondie les activités des cinq États et cinq entreprises "leaders" dans ce domaine, mais cette liste est loin d’être exclusive. Un État qui apparaissait dans la liste des "Ennemis d'Internet" en 2012 n'y apparait donc plus forcément en 2013, sans que cela ne signifie une amélioration quelconque de l'état de la liberté de l'information. Retrouvez les autres développements marquants intervenus depuis un an dans notre Tour d'horizon de la cybercensure.

Photo by RobH (Own work) [CC-BY-SA-3.0], via Wikimedia Commons