NSO Group : son logiciel espion cible un journaliste marocain

Attaques et harcèlement

Nous avons découvert que le téléphone d’Omar Radi avait été la cible de plusieurs attaques au moyen d’une nouvelle technique sophistiquée qui permet d’installer de façon invisible Pegasus, logiciel espion produit par NSO Group. Ces attaques se sont produites alors que le journaliste faisait l’objet d’actes de harcèlement multiples de la part des autorités marocaines.

Une des attaques a notamment eu lieu quelques jours seulement après que l’entreprise se soit publiquement engagée à respecter les Principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme, le 10 septembre 2019. Selon les preuves numériques rassemblées, ces attaques se sont déroulées les 27 janvier, 11 février et 13 septembre 2019 et se sont poursuivies au moins jusqu’au mois de janvier 2020. Ainsi, alors que l’entreprise lançait une offensive médiatique pour redorer son blason, ses outils rendaient possible la surveillance illégale d’Omar Radi, journaliste primé et militant.

Lire aussi : Le silence d'Israël face aux logiciels espion

Ciblage illégal des militants : des responsabilités partagées

Alors que des éléments attestant de l’utilisation de son logiciel espion pour suivre des militants au Maroc ont été portés à sa connaissance, NSO Group semble avoir choisi de conserver le gouvernement marocain parmi ses clients. Si l’entreprise n’empêche pas l’utilisation de sa technologie pour commettre des atteintes aux droits humains, il devrait lui être interdit de la vendre à des États qui s’en serviront probablement à cette fin.

Par ailleurs, si les autorités marocaines sont responsables en dernier ressort du ciblage illégal de militants et de journalistes, à l’image d’Omar Radi, l’entreprise a également favorisé ce type de violation en les maintenant parmi ses clients actifs au moins jusqu’en janvier 2020. Cela leur a, semble-t-il, permis de conserver un accès au logiciel espion produit par l’entreprise.

Journalistes et défenseurs des droits humains dans le viseur

C’est en raison de ses activités journalistiques et militantes qu’Omar Radi est systématiquement pris pour cible par les autorités marocaines. Fervent détracteur du bilan de celles-ci en matière de droits humains, il a publié des articles sur la corruption ainsi que sur les liens unissant les intérêts du monde des affaires et du monde politique marocains.

Le 17 mars 2020, il a été condamné à une peine de quatre mois d’emprisonnement avec sursis en raison d’un tweet publié en avril 2019 dans lequel il critiquait l’iniquité du procès d’un groupe de militants.

Une méthode d’attaque silencieuse

En février 2020, nos équipes d’Amnesty Tech ont réalisé une analyse de l’iPhone d’Omar Radi. Celle-ci a permis de découvrir que l’appareil avait été la cible d’une série d’attaques par « injection réseau ».

Ce type d’attaque permet à ses auteurs de surveiller, d’intercepter et de manipuler les données de trafic Internet de la personne ciblée. Le navigateur Internet du téléphone est redirigé vers un site malveillant, sans aucune intervention de son propriétaire. C’est ensuite à partir de ce site, que le logiciel espion Pegasus est installé de façon invisible sur le téléphone, laissant peu de chance à la victime de repérer cette attaque. Dès lors les auteurs de l’attaque ont entièrement accès au contenu du téléphone (messages SMS, courriels, activité sur Internet, micro, appareil photo, appels téléphoniques et contacts).

Une telle attaque, par injection réseau, nécessite soit de se situer à proximité des personnes ciblées, soit d’avoir accès aux réseaux mobiles du pays. Dans ce dernier cas, une autorisation des pouvoirs publics est nécessaire ; il s’agit donc là d’un autre élément donnant à penser que les autorités marocaines sont responsables de l’attaque visant Omar Radi.

Lors de notre enquête, nous avons établi que le navigateur du téléphone d’Omar Radi avait été redirigé vers le même site malveillant que celui identifié dans une précédente attaque ciblant l’universitaire et militant marocain Maati Monjib. À l’époque, nous avions expliqué les faits dans le rapport intitulé « Maroc. Des défenseurs des droits humains ciblés par un logiciel espion de NSO Group », publié le 10 octobre 2019, et dont NSO Group a reçu un exemplaire le 2 octobre 2019. Si le site malveillant a été fermé le 6 octobre 2019, quelques jours avant la publication du rapport, de nouveaux indices révèlent que le téléphone d’Omar Radi a continué d’être la cible d’attaques similaires par injection réseau, via un autre site, jusqu’au 29 janvier 2020.

NSO Group affirme procéder à un examen rigoureux destiné à identifier les risques pour les droits humains avant de vendre ses produits, mais elle n’a pas fourni de détails à ce sujet et, au vu du nombre d’attaques visant la société civile, cet examen semble bien souvent avoir été inefficace.

Des violations systématiques des droits humains

Les autorités marocaines ont de plus en plus recours à la surveillance numérique pour réprimer l’opposition. Ces pratiques illégales d’espionnage et le harcèlement généralisé des militants et des journalistes dans lequel elles s’inscrivent doivent cesser.

Le logiciel espion Pegasus développé par NSO Group a notamment servi à mener des attaques contre des journalistes et des députés au Mexique, contre les militants saoudiens Omar Abdulaziz, Yahya Assiri et Ghanem Al Masarir, contre le défenseur des droits humains primé Ahmed Mansoor des Émirats arabes unis et contre un membre d’Amnesty International. Il aurait également été utilisé dans l’affaire du dissident saoudien assassiné Jamal Khashoggi.

En vertu des Principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme, NSO Group et son actionnaire majoritaire, le fonds d’investissement privé britannique Novalpina Capital, sont clairement tenus de prendre immédiatement des mesures pour veiller à ne pas causer d’atteintes aux droits humains dans le monde ni y contribuer.

Actions en justice

Il est urgent que NSO Group réponde à des questions importantes au sujet des dispositions qu’elle a prises après avoir reçu des informations prouvant l’utilisation de sa technologie pour commettre des violations des droits humains au Maroc. Pourquoi notamment n’a-t-elle pas résilié son contrat avec les autorités marocaines ? L’intimidation de journalistes et de militants au moyen d’une surveillance numérique invasive constitue une violation de leurs droits au respect de la vie privée et à la liberté d’expression.

Actuellement, nous soutenons une action en justice intentée en Israël contre le ministère israélien de la Défense pour qu’il annule la licence d’exportation de NSO Group. Nous estimons qu’il hypothèque les droits humains en laissant NSO Group exporter ses produits vers des États du monde entier. Une décision devrait bientôt être rendue.

Par ailleurs, Facebook a assigné NSO Group devant la justice californienne, l’accusant d’avoir exploité une faille de WhatsApp pour cibler au moins 100 défenseurs des droits humains.

Ainsi, la bataille judiciaire engagée contre NSO Group se poursuit, car l’entreprise refuse de reconnaître sa responsabilité et son rôle dans des violations des droits humains. Les nouveaux éléments que nous avons mis à jour constituent le dernier signal d’alarme en date, justifiant d’empêcher l’entreprise de vendre sa technologie de surveillance, y compris pour combattre la pandémie de Covid-19.