Expert en sécurité numérique, Claudio Guarneri tente, pour Amnesty International, de débusquer les sociétés d’espionnage travaillant pour des États répressifs. Une bataille des plus inégales, prévient l’Italien.
Claudio Guarnieri, responsable du laboratoire de sécurité informatique d’Amnesty International et hacker italien, a révélé l’affaire Pegasus, ou comment des États autoritaires utilisent un software produit par la société israélienne NSO Group pour surveiller journalistes et dissident•es.
L’affaire Pegasus a révélé comment plusieurs États autoritaires utilisent un software produit par la société israélienne NSO Group pour surveiller des journalistes et des dissident·es. Derrière cette découverte et d’autres, on trouve Claudio Guarnieri, responsable du laboratoire de sécurité informatique d’Amnesty International. Nous avons rencontré le hacker italien, également connu sous le pseudo Nex, lorsqu’il était de passage à Lugano.
Comment devient-on spécialiste des droits humains dans l’espace numérique?
Claudio Guarnieri: Dès mon plus jeune âge, j’ai été très attiré par le monde de l’informatique et la culture hacking italienne. J’ai étudié la sécurité informatique à l’université, mais sans terminer mes études. J’ai consolidé ma pratique en travaillant. D’abord dans le secteur privé, où je me suis ennuyé, puis au service de la société civile. J’ai ainsi commencé à enquêter sur la surveillance des journalistes et des dissidents et je me suis rendu compte qu’une autre partie de la société était touchée par des questions de cybersécurité. J’ai compris à quel point il était important de faire bénéficier la société civile de connaissances dans ce domaine.
Quelle a été votre première affaire importante?
Dans le contexte du «printemps arabe», il est apparu que deux entreprises européennes – l’allemande FinFischer et l’italienne Hacking Team – fournissaient des technologies d’interception et de surveillance à des États tels que le Bahreïn et le Maroc. Dans ces pays et dans d’autres où les médias étaient contrôlés par l’appareil d’État, un journalisme de base, réalisé par les citoyens, était en train d’émerger.
Ce mouvement a apporté une contre-information sur ce qui se passait dans les rues. Cependant, nombre de ces personnes se sont retrouvées dans le collimateur de la surveillance numérique assurée par des entreprises européennes.
D’un point de vue pratique, comment fonctionne votre recherche?
En général, il y a une sorte de patient zéro, une personne que l’on soupçonne d’être surveillée. Si nous trouvons quelque chose, cette découverte permet souvent de tout débloquer. A partir de ce premier cas, nous recherchons l’étendue géographique des programmes repérés pour voir où et qui a pu être pénétré par un programme de surveillance. C’est comme cela qu’a débuté l’affaire Pegasus, du nom du logiciel du groupe NSO, lié à l’appareil de renseignement israélien.
Israël est-il le leader du secteur?
Oui, c’est le principal centre mondial. Contrairement à l’Europe, où il existe une autorité indépendante qui contrôle les exportations, en Israël, elles dépendent du Ministère de la défense. L’Italie compte historiquement de nombreuses entreprises dans ce secteur. La plus connue était Hacking Team, qui a toutefois été piratée en 2015. Cela lui a fait perdre toute crédibilité, à tel point qu’aujourd’hui elle n’existe plus. Les entreprises italiennes qui subsistent sont spécialisées dans des fournitures plus locales.
Produit par la société israélienne NSO Group, le logiciel Pegasus a été utilisé par plusieurs États pour surveiller des journalistes et des dissident·es. «Vous n’avez pas besoin de commettre une erreur: aujourd’hui, tout se passe en zéro clic», observe Claudio Guarnieri.
C’est-à-dire?
Tous les parquets italiens ont recours à ce type de technologie (c’est le cas également en Suisse, ndlr) pour leurs enquêtes, quelles qu’elles soient. On sait peu de choses sur la manière et le moment où ces technologies sont utilisées. Même si, en Italie, on suppose qu’elles sont utilisées d’une manière plus conforme à l’idée initiale de lutte contre la criminalité, je ne peux rien exclure.
Le risque d’abus est-il réel?
Il est clair que les cas d’abus sont plus évidents et systématiques dans d’autres États. Cela ne signifie pas qu’il n’y a pas de risques en Europe. En Italie, certains journalistes travaillant sur les questions de migration ont été «interceptés» sans faire l’objet d’une enquête, et ce de manière classique et non par le biais de logiciels espions. Cela peut également être défini comme un abus, mais il n’a pas nécessité d’instrument technologique particulier.
En Suisse, nous, journalistes, avons tout sur nos téléphones portables. Devrions-nous être plus prudent·es?
Je ne peux pas vous donner une réponse détaillée sur la Suisse. Mais je peux dire que de nombreuses personnes en Europe pensent, à tort, être en sécurité. J’ai perdu le compte, dans le cadre du projet Pegasus, du nombre de journalistes français dont les appareils informatiques étaient piratés.
Le risque d’être surveillé dépend davantage de ce que vous faîtes, de sur quoi vous travailler, et non du pays où vous le faites. Si vous êtes une personne à risque, vivre en dépendant de ces technologies n’est certainement pas une bonne idée.
Quelle a été la réaction en Europe lorsqu’on a appris que ces produits étaient exportés vers des États où la répression était forte?
Jusqu’en 2014, il n’existait pas de lois spécifiques. Puis l’Union européenne a décidé que les logiciels intrusifs étaient un outil à double usage, c’est-à-dire qu’ils pouvaient être utilisés à des fins tant civiles que militaires, et que des clauses relatives aux droits humains étaient nécessaires à cet effet. Dès lors, les entreprises qui souhaitent exporter vers des Etats extérieurs à l’UE doivent demander une licence. Mais la législation est facilement contournable.
Comment?
En Allemagne, depuis l’entrée en vigueur de la loi en 2015, aucune demande de licence d’exportation n’a été déposée. Il est donc évident que quelque chose ne va pas. Ces entreprises ont ouvert des bureaux ou des succursales dans d’autres pays, même en Europe (et en Suisse), où les contrôles sont moins sévères.
«Il suffit d’avoir le numéro de téléphone de la cible pour que l’attaque soit envoyée via un protocole de n’importe quelle application.»
L’industrie (Google, Apple, etc.) ne peut-elle pas faire mieux en matière de sécurité?
Aujourd’hui, sécuriser un appareil comme un téléphone portable n’est pas une mince affaire. Il s’agit de technologies complexes qui contiennent inévitablement des failles.
Les géants technologiques partent avec le désavantage de ne pas savoir contre qui ils se battent, et lorsqu’ils sont confrontés à des entreprises qui emploient des centaines de personnes dont le travail consiste à faire exactement le contraire, c’est-à-dire à briser leurs mesures de sécurité, cela devient une chasse très difficile. Même si aujourd’hui, la situation est peut-être meilleure qu’il y a quelques années.
Vraiment?
Oui. Avant, il était possible d’intercepter n’importe quoi à travers le Net. Aujourd’hui, grâce aussi aux révélations d’Edward Snowden, la cryptographie est partout et la situation s’est donc améliorée. Cela a toutefois incité les attaquants à concentrer leur énergie sur la pénétration directe des dispositifs.
Sur le plan technologique, comment ces outils intrusifs ont-ils évolué?
Ces outils sont conçus pour être les plus discrets possible. Vous n’avez pas besoin de commettre une erreur: aujourd’hui, tout se passe en zéro clic. Nous avons pu constater que le développement de ces technologies offensives a atteint le point où il suffit d’avoir le numéro de téléphone de la cible pour que l’attaque soit envoyée via un protocole de n’importe quelle application. La victime ne se doute de rien.
Une fois que vous êtes pénétré, vous êtes pris au piège…
Oui. A partir de ce moment, ils ont accès à tout. La chose la plus surprenante pour les personnes qui ont été victimes de surveillance est qu’elles pensaient qu’en utilisant des applications comme Signal ou Telegram, elles étaient en sécurité. En réalité, ce n’est pas le cas: s’ils parviennent à s’introduire dans l’appareil, aucune cryptographie ne fera l’affaire.
Quelle est leur réaction lorsque vous les informez que leurs appareils ont été piratés?
Se rendre compte que la communication que vous avez menée et que vous pensiez être sécurisée a été compromise n’est pas un mince impact personnel. Surtout en vivant dans certains États. Il y a une sorte d’effondrement psychique: la rupture est totale et inattendue.
Que leur conseillez-vous de faire?
En tant que journaliste ou activiste, vous pouvez prendre toutes les précautions possibles, vous pouvez être la personne la plus éduquée technologiquement, mais vous n’avez toujours pas les moyens de contrer de telles attaques et vous serez toujours désavantagé. Vous êtes face à une industrie qui investit des milliards de dollars pour pouvoir saboter et briser la protection de sécurité de toutes sortes de produits, même les plus sûrs.
Éprouvez-vous un certain sentiment d’impuissance?
Certainement. Vous êtes face à une personne qui vient de s’entendre dire que tout ce qu’elle a fait ou dit ces dernières années est révélé. Une fois ce traumatisme passé, il reste la partie la plus difficile: vous devez leur dire quoi faire. Et souvent, je n’ai pas de réponse.
Que faites-vous?
Il n’y a pas grand-chose à faire, si ce n’est prendre quelques précautions: compartimentez les choses, séparez la vie professionnelle de la vie privée, utilisez très peu les réseaux sociaux, ne communiquez pas votre numéro de téléphone. Je fais très attention à dire ce que j’utilise et ce que je n’utilise pas, quel téléphone ou quel système d’exploitation. Même si j’ai des compétences techniques, je ne peux pas vérifier mon téléphone tous les soirs…
Le Courrier, Federico Franchini, TOBIAS KLENZE / WIKIMEDIA, 6 janvier 2022
0 commentaire à “Hacker d’espions”