Notre nouveau rapport « Attaques de cybermercenaires en Afrique de l’ouest. Un militant au Togo visé par un logiciel espion fabriqué en Inde. » révèle que le groupe de hackers Donot Team a utilisé de fausses applications Android et des courriels infectés par des logiciels espions pour cibler un défenseur togolais des droits humains, et le placer illégalement sous surveillance.
Notre rapport publié en octobre 2021, révèle que pour la première fois, les logiciels espions de Donot Team ont été identifiés dans des attaques en dehors de l’Asie du Sud. Il signale également des liens entre le logiciel espion et l’infrastructure utilisée dans ces attaques, et Innefu Labs, une entreprise de cyber-sécurité basée en Inde.
Un défenseur des droits humains pris pour cible
Notre rapport démontre que les militants au Togo peuvent risquer d’être pris pour cibles par des cybermercenaires de l’ombre, qui lancent des attaques numériques pour tenter de voler les données privées des victimes afin de les vendre à des clients privés. En effet, les appareils d’un militant togolais ont été ciblés par des attaques entre décembre 2019 et janvier 2020, période de climat politique tendu au Togo à l’approche de l’élection présidentielle de 2020.
Cette personne, qui préfère garder l’anonymat pour des raisons de sécurité, travaille depuis longtemps avec des organisations de la société civile togolaise et représente une des voix essentielles de la défense des droits humains dans le pays.
Des attaques persistantes via WhatsApp et par courriel ont tenté de piéger la victime pour qu’elle installe une application malveillante travestie en application de messagerie instantanée sécurisée. Il s’agissait en réalité d’un logiciel espion pour Android conçu pour extraire des informations personnelles parmi les plus sensibles stockées sur le téléphone du militant.
Ce logiciel espion aurait permis aux cybermercenaires d’avoir accès à sa caméra et au microphone, de récupérer ses photos et ses fichiers stockés sur l’appareil, et de lire ses messages WhatsApp chiffrés au moment de l’envoi et de la réception.
Quand j’ai compris qu'il s'agissait d'une tentative d'espionnage numérique, je me suis senti en danger. Je n’arrive pas à croire que mon travail puisse déranger certaines personnes au point qu'elles essaient de m'espionner. Je ne suis pas le seul à travailler pour les droits humains au Togo. Pourquoi moi ?
déclare le militant ciblé.
Une surveillance numérique ciblée illégale
Depuis 2019, année précédant l’élection présidentielle, l’espace d’action des défenseurs des droits humains au Togo s’est rétréci. En effet, des lois restreignant les droits à la liberté d’expression et de réunion pacifique ont été adoptées et des cas de violations commises par les autorités, notamment contre des militant·e·s pour la démocratie ont été recensés. On dénombre plusieurs dignitaires religieux et figures de l’opposition politique au Togo qui auraient été la cible d’outils de surveillance numérique.
En août 2020, The Guardian et Citizen Lab ont révélé que deux membres du clergé catholique avaient été pris pour cibles au moyen d’une faille de WhatsApp exploitée par NSO Group.
Fin juillet 2021, le Projet Pegasus dévoile un scandale de surveillance numérique ciblée mondial. Ce projet coordonné par Forbidden Stories avec l’appui technique de notre Security Lab a révélé cette année que les numéros de centaines de Togolaises et Togolais avaient été inscrits sur une liste de cibles potentielles du logiciel espion Pegasus de NSO Group. Parmi ces numéros, figurent ceux de journalistes indépendants et de membres de mouvements de l’opposition politique.
Le secteur de la surveillance échappe à tout contrôle avec des entreprises et des cybermercenaires agissant totalement dans l’ombre. Les entreprises de surveillance doivent cesser de donner la priorité aux profits, au détriment des personnes, et veiller à ce que les régimes répressifs ne se servent pas de leur technologie pour étouffer la société civile.
Des cyber-attaques hors contrôle
La menace de la surveillance ciblée, qu’elle soit réelle ou non, peut avoir de lourdes conséquences psychologiques sur les militant·e·s et un effet plus que délétère sur leur travail en faveur des droits humains. Malgré nos multiples demandes et celles d’organisations de la société civile pour plus de transparence, nous ne savons pas grand-chose sur l’industrie de la cybersurveillance, qui évoque un véritable Far West. Et, nous en savons encore moins sur le secteur florissant dans lequel évoluent les cybermercenaires.
À travers le monde, les cybermercenaires tirent sans scrupule profit de la surveillance illégale des défenseur·e·s des droits humains. Tout le monde peut être une cible : des cybermercenaires vivant à des centaines de kilomètres peuvent pirater votre téléphone ou votre ordinateur, regarder où vous allez et à qui vous parlez, et vendre vos données privées à des gouvernements répressifs ou à des criminels.
Danna Ingleton.
Notre enquête présente une suite de preuves techniques laissées par les auteurs de l’attaque réalisée au Togo et prouve des liens entre l’infrastructure utilisée dans ces attaques et l’entreprise Innefu Labs basée en Inde. Cette entreprise annonce offrir des services autour de la sécurité numérique, l’analyse de données et la prévision policière à des agences de maintien de l’ordre et aux forces armées. Elle affirme également travailler avec le gouvernement Indien. Or, malgré les énormes risques que ses produits représentent pour la société civile, Innefu Labs ne possède pas de politique de droits humains et ne semble pas mettre en œuvre une diligence raisonnable en matière de droits humains. Lors de notre enquête, nous avons constaté que les attaques de Donot Team contre des organisations et des individus en Asie se concentraient pour la plupart dans le nord de l’Inde, au Pakistan et au Cachemire.
Lutter contre ces nouvelles atteintes aux droits humains
Dans le cadre de notre enquête, Innefu Labs a nié, dans une lettre nous étant destiné, « l’existence de quelque lien que ce soit entre Innefu Labs et les logiciels espions attribués à « Donot Team » » ou avec les attaques contre le défenseur des droits humains au Togo. Innefu Labs nous a également déclaré n’avoir aucune connaissance d’une utilisation de leur adresse IP dans ces activités supposées.
Aucune preuve ne suggère une implication ou connaissance directe d’Innefu Labs dans les attaques contre le défenseur des droits humains au Togo utilisant les logiciels espions de Donot Team. Les activités attribuées à Donot Team peuvent impliquer plusieurs acteurs ou organisations distinctes ayant accès aux mêmes logiciels espions ou à une infrastructure partagée.
Néanmoins, nous demandons à Innefu Labs de publier dans leur intégralité les conclusions d’un audit externe commissionné par l’entreprise sur les liens entre Innefu Labs et l’infrastructure et les outils d’espionnage utilisés dans l’attaque ciblant le militant au Togo, ainsi que de mettre en œuvre une politique en matière de droits humains.
Nous appelons également le gouvernement indien à enquêter sur les cyberattaques liées à Innefu Labs et à prendre d’urgence des mesures visant à garantir que les entreprises de surveillance basées en Inde ne soient pas impliquées dans le ciblage de militant·e·s, ce que le droit international relatif aux droits humains interdit sans ambiguïté.
Enfin, nous alertons le gouvernement togolais sur la nécessité de veiller à ce que tous les citoyen·ne·s, notamment les militant·e·s, soient protégés contre les atteintes aux droits humains. Et nous lui demandons d’enquêter sur les préjudices causés par les cyberattaques menées par des acteurs du secteur privé et d’y apporter des réparations.
« La surveillance numérique illégale doit cesser ! »
