La police serbe utilise Cellebrite pour espionner un journaliste
Un nouveau cas d'utilisation abusive d'outils d'analyse forensique à des fins de surveillance étatique vient d'être révélé. En Serbie, les autorités ont détourné la technologie de la société israélienne Cellebrite, non pas pour extraire des données d'un smartphone comme le permet l'outil, mais pour y installer un spyware dans le but d'espionner un journaliste.
Une pratique inédite documentée par Amnesty International
L'ONG Amnesty International a enquêté sur cette affaire et affirme dans un rapport qu'il s'agit des "premières infections par spyware documentées de manière forensique rendues possibles par l'utilisation" des outils de Cellebrite.
Slaviša Milanov, un journaliste serbe, et Nikola Ristić, un activiste, ont été les cibles de cette surveillance illégale menée par la police de leur pays à l'aide d'un appareil de déverrouillage de téléphone fabriqué par Cellebrite. Le but n'était pas seulement d'accéder aux données personnelles contenues dans les smartphones, comme le permet l'outil forensique, mais surtout d'y installer un logiciel malveillant baptisé NoviSpy pour poursuivre la surveillance.
Une technique rudimentaire mais efficace
Cette méthode, bien que basique, s'avère redoutablement efficace. Elle illustre l'une des nombreuses façons dont les gouvernements détournent des technologies à des fins de surveillance de leurs citoyens.
Au cours de la dernière décennie, Amnesty et d'autres défenseurs des droits numériques comme Citizen Lab ont documenté des dizaines de cas d'utilisation de spywares sophistiqués, notamment ceux de NSO Group, Intellexa ou Hacking Team, par des états pour espionner à distance des dissidents, journalistes et opposants politiques.
Mais face au coût croissant de ces outils et à l'amélioration des défenses des smartphones, les autorités pourraient de plus en plus recourir à des techniques "à l'ancienne" nécessitant un accès physique aux appareils.
Un précédent inquiétant aux États-Unis ?
Bien que ce genre d'abus soit le plus souvent documenté dans des régimes non-démocratiques, rien ne garantit que cela ne puisse pas arriver aux États-Unis. En novembre, Forbes révélait que le service des douanes et de l'immigration américain (ICE) avait dépensé 20 millions de dollars dans des outils de surveillance et de piratage de téléphones, dont ceux de Cellebrite.
Étant donné le durcissement des politiques migratoires promis par le président élu Donald Trump, les experts craignent une recrudescence de la surveillance exercée par l'ICE dès l'entrée en fonction de la nouvelle administration.
Amnesty appelle Cellebrite à agir
Suite à ces révélations, Amnesty International demande à l'entreprise Cellebrite de prendre des mesures pour empêcher l'utilisation abusive de sa technologie par des régimes répressifs :
« Cellebrite ne peut pas se contenter de fermer les yeux sur les preuves de plus en plus nombreuses que ses produits facilitent les atteintes aux droits humains dans le monde entier. Elle doit cesser d'autoriser l'utilisation de sa technologie universelle de déverrouillage et d'extraction des données des téléphones portables par les autorités serbes. »
- Amnesty International
De son côté, Cellebrite assure que ses outils ne peuvent pas être utilisés directement pour installer des malwares et que cela nécessite l'intervention d'un tiers. L'entreprise promet d'enquêter et de réévaluer ses relations avec la Serbie si une violation de leur accord d'utilisation est avérée.
Mais au delà de ce cas précis, c'est toute l'industrie des technologies de surveillance qui est pointée du doigt. Dans un contexte de banalisation de ces outils et de course aux profits, les garde-fous semblent bien faibles pour prévenir les dérives autoritaires. Une vigilance accrue des défenseurs des libertés et une régulation plus stricte apparaissent plus que jamais nécessaires.
