Scandale des « Predator files ». La société civile, des personnalités politiques et des responsables ciblés illégalement par un logiciel espion

Des membres de la société civile, des journalistes, des personnalités politiques et des universitaires dans l’Union européenne (UE), aux États-Unis et en Asie ont été les cibles d’attaques révoltantes menées au moyen d’un logiciel espion. Parmi les personnes visées par le logiciel espion Predator figurent des responsables des Nations unies (ONU), un sénateur et un député américains, et même la présidente du Parlement européen ainsi que celle de Taiwan. L'enquête fait partie du projet des « Predator files », en partenariat avec le réseau d’investigation journalistique European Investigative Collaborations (EIC). Elle est en outre étayée par des enquêtes de fond supplémentaires menées par Mediapart et Der Spiegel.

Entre février et juin 2023, au moins 50 comptes appartenant à 27 personnes et 23 institutions ont été publiquement pris pour cible sur les plateformes de réseaux sociaux X (anciennement Twitter) et Facebook. L’arme de cybersurveillance utilisée pour cibler ces comptes se nomme Predator, un logiciel espion intrusif développé et commercialisé par l’alliance Intellexa. Se targuant d’être « basée dans l’UE et soumise à la réglementation européenne », cette alliance se compose d’un groupe complexe et en constante mutation d’entreprises qui conçoivent et vendent des produits de surveillance, notamment le logiciel espion Predator.

Predator appartient à la famille des logiciels espions hautement intrusifs. Cela signifie que le logiciel dispose, à l’insu de l’utilisateur, d’un accès total au micro et à la caméra de l’appareil infecté, ainsi qu’à toutes les données qu’il contient (contacts, messages, photos, vidéos, etc.). Pour l’heure, ces logiciels espions ne peuvent pas être contrôlés de façon indépendante et leurs fonctionnalités ne peuvent pas être limitées à ce qui est nécessaire et proportionné par rapport à un usage spécifique.

« Nous avons une nouvelle fois des preuves de l’utilisation de puissants outils de surveillance pour lancer des attaques éhontées. Ce sont cette fois des journalistes en exil, des personnalités politiques et des responsables intergouvernementaux qui ont été pris pour cible. Mais ne nous méprenons pas : ce sont chacun et chacune d’entre nous, nos sociétés, la bonne gouvernance et les droits humains de chaque individu qui en sont les victimes », a déclaré Agnès Callamard, secrétaire générale d’Amnistie Internationale.

« L’alliance Intellexa, basée en Europe et responsable de la conception de Predator ainsi que d’autres produits de surveillance, n’a pris aucune mesure pour restreindre l’accès à ce logiciel espion et ses usages, préférant s’enrichir au mépris de graves conséquences en matière de droits humains. Dans le sillage de ce dernier scandale, les États n’ont assurément d’autre choix, pour réagir efficacement, que de prononcer une interdiction immédiate et mondiale des logiciels espions hautement intrusifs. »

Un rapport exhaustif publié lundi 9 octobre par le Security Lab d’Amnistie Internationale révèle plusieurs des personnes qui ont été prises pour cibles (mais pas nécessairement infectées), parmi lesquelles la présidente du Parlement européen Roberta Metsola, la présidente de Taiwan Tsai Ing-Wen, le député Michael McCaul et le sénateur John Hoeven, tous deux Américains, l’ambassadrice de l’Allemagne aux États-Unis Emily Haber, et l’eurodéputé français Pierre Karleskind. Plusieurs responsables, universitaires et institutions ont également été visés.

Un déferlement d’attaques sournoises

Le Security Lab d’Amnistie Internationale enquête depuis un certain temps sur l’utilisation de Predator, logiciel espion performant et hautement intrusif, et son lien avec l’alliance Intellexa.

Bon nombre des liens identifiés comme malveillants et visant à infecter des cibles avec Predator émanent d’un compte X (anciennement Twitter) dénommé « @Joseph_Gordon16 » et contrôlé par un cyberattaquant. Parmi les premières personnes prises pour cible par ce compte figure Khoa Lê Trung, journaliste d’origine vietnamienne basé à Berlin et rédacteur en chef de thoibao.de, un site Internet d’actualités bloqué au Viêt-Nam. Son travail journalistique lui vaut des menaces de mort depuis 2018. En effet, le paysage médiatique vietnamien baigne dans un climat de répression, où journalistes, blogueur·euse·s et défenseur·e·s des droits humains sont souvent réduits au silence par des menaces.

Bien qu’elle n’ait pas abouti, l’attaque revêt une portée particulièrement significative puisque le site Internet et le journaliste visés sont domiciliés dans l’UE. Or, chaque État membre de l’UE est tenu de contrôler la vente et le transfert des technologies de surveillance.

« On ne devrait pas pouvoir vendre [ces technologies de surveillance] à des pays comme le Viêt-Nam. Cela constitue également une atteinte à la liberté de la presse et à la liberté d’expression des gens ici en Allemagne », a déclaré Khoa Lê Trung à Amnistie Internationale.

L’enquête a établi que le compte @Joseph_Gordon16 avait des liens étroits avec le Viêt-Nam et qu’il était susceptible d’avoir agi pour le compte des autorités vietnamiennes ou de groupes d’intérêts du pays.

En avril 2023, le Security Lab d’Amnistie Internationale a commencé à constater des attaques menées par ce même utilisateur @Joseph_Gordon16 à l’encontre de plusieurs universitaires et responsables s’intéressant à des questions maritimes, notamment des chercheur·euse·s et fonctionnaires travaillant sur des politiques de l’UE et de l’ONU relatives à la pêche illicite ou non déclarée. Le Viêt-Nam a écopé d’un « carton jaune » de la part de la Commission européenne en 2017 pour pêche illicite, non déclarée et non réglementée.

« Nous avons observé plusieurs dizaines de cas où “@Joseph_Gordon16” a placé un lien malveillant vers Predator dans des publications publiques sur les réseaux sociaux. Dans certains cas, le lien semblait renvoyer à un site d’informations inoffensif, comme The South China Morning Post, pour tromper le lecteur et l’inciter à cliquer dessus », a déclaré Donncha Ó Cearbhaill, responsable du Security Lab d’Amnistie Internationale.

« Notre analyse a montré que le fait de cliquer sur ce lien pouvait conduire à l’infection par Predator de l’appareil de l’utilisateur. Nous ne savons pas si des appareils ont effectivement été infectés, et nous ne pouvons affirmer avec une certitude absolue que l’auteur se trouvait au sein du gouvernement vietnamien, mais les intérêts de ce dernier et ceux du compte coïncidaient très fortement. »

L’enquête a également mis au jour des éléments indiquant qu’une entreprise appartenant à l’alliance Intellexa a conclu début 2020 un contrat — répondant au nom de code « poisson-pêcheur » — de plusieurs millions d’euros portant sur des « solutions d’infection » avec le ministère vietnamien de la Sécurité publique. En outre, des documents et des registres d’exportation attestent de la vente de Predator au ministère vietnamien de la Sécurité publique par le truchement d’entreprises intermédiaires.

Des chercheur·euse·s en sécurité de Google, qui ont également analysé les liens malveillants de leur côté, ont confié à Amnistie Internationale : « Nous pensons que cette infrastructure d’attaque Predator est associée à un acteur gouvernemental au Viêt-Nam. »

Une prolifération mondiale et incontrôlée de logiciels espions réglementés par l’Union européenne

Predator peut également être utilisé dans le cadre d’attaques « zéro clic », c’est-à-dire qu’il peut infecter un appareil sans que l’utilisateur ciblé ne clique sur un lien. Des appareils situés à proximité peuvent par exemple être infectés de cette manière via ce que l’on appelle des « attaques tactiques ». Pour le moment, ces logiciels espions hautement intrusifs ne peuvent pas être contrôlés de façon indépendante et leurs fonctionnalités ne peuvent pas être limitées, ce qui rend extrêmement difficile le travail d’enquête sur les violations liées à leur utilisation.

L’enquête, qui a révélé la présence de produits de l’alliance Intellexa dans au moins 25 pays en Europe, en Asie, au Moyen-Orient et en Afrique, montre comment ces produits ont été utilisés pour porter atteinte aux droits humains, à la liberté de la presse et aux mouvements sociaux partout dans le monde.

L’alliance Intellexa compte des entreprises implantées dans différents États, dont l’Allemagne, Chypre, les Émirats arabes unis, la France, la Grèce, la Hongrie, l’Irlande, Israël, la Macédoine du Nord, la République tchèque et la Suisse. Amnistie Internationale appelle ces États à révoquer immédiatement toutes les autorisations de commercialisation et d’exportation accordées à l’alliance Intellexa, et à mener une enquête indépendante, impartiale et transparente pour déterminer l’ampleur des ciblages illégaux.

« Intellexa dit être “une entreprise réglementée et basée dans l’UE”, ce qui en soi montre de façon accablante que les États membres et les institutions de l’UE ont échoué à empêcher le déploiement débridé de ces produits de surveillance, malgré des enquêtes telles que celle qui a porté sur le projet Pegasus en 2021. Cet échec est si patent que, comme en témoigne cette nouvelle enquête, même des responsables et des institutions de l’UE ont été pris dans les mailles du filet [de l’alliance Intellexa] », a déclaré Agnès Callamard, secrétaire générale d’Amnistie Internationale.

L’enquête sur les « Predator files » a établi que les produits de l’alliance Intellexa ont été vendus à au moins 25 pays clients, dont la Suisse, l’Autriche et l’Allemagne, mais aussi le Congo, les Émirats arabes unis, la Jordanie, le Kenya, Oman, le Pakistan, le Qatar, Singapour et le Viêt-Nam.

L’alliance Intellexa doit cesser la production et la commercialisation de Predator et de tout autre logiciel espion intrusif ne comportant pas les garanties techniques nécessaires pour permettre son utilisation légale dans un cadre réglementaire respectueux des droits humains. Elle doit aussi offrir une indemnisation satisfaisante ou d’autres formes de réparation effective aux victimes de surveillance illégale.

L’analyse réalisée par Amnistie Internationale d’une récente infrastructure technique liée au système de logiciel espion Predator indique que des activités connexes, sous une forme ou une autre, ont été menées en Angola, en Égypte, en Mongolie, au Kazakhstan, en Indonésie, à Madagascar, au Soudan et au Viêt-Nam, entre autres. Amnistie Internationale a publié des indices d’infection pour aider les spécialistes des technologies au sein de la société civile à détecter et à contrer ce logiciel espion.

Amnistie Internationale a contacté les entités concernées pour obtenir des commentaires, mais n’a reçu aucune réponse. Cependant, l’EIC a obtenu une réponse des principaux actionnaires et anciens cadres du groupe Nexa, qui affirment que l’alliance Intellexa a cessé d’exister. En ce qui concerne le Viêt-Nam, ils avancent que le groupe Nexa n’a fait que remplir une partie du contrat liée à la cybersécurité. Ces personnes soutiennent par ailleurs que les entités de l’alliance Intellexa ont « respect[é] scrupuleusement les réglementations » relatives aux exportations, tout en reconnaissant qu’ils avaient engagé des « relations commerciales » avec des pays qui « étaient loin d’être parfaits sur le plan de l’état de droit », ajoutant que cela s’était souvent fait en fonction des « choix politiques » du gouvernement français.

Amnistie Internationale a écrit au ministère vietnamien de la Sécurité publique pour obtenir des commentaires, mais l’organisation est restée sans réponse.

Cliquez sur le lien suivant pour accéder au rapport complet : Dans les mailles de Predator.