Cet inquiétant boom de la cyber surveillance globale

Atlantico : De nouvelles données rassemblées par le think tank américain Atlantic Council dressent un tableau détaillé de la manière dont les entreprises occidentales vendent des cyber-armes et des technologies de surveillance aux ennemis de l'OTAN. Pourquoi des entreprises occidentales vendent-elles des cyber-armes ainsi que des technologies de surveillance à leurs ennemis ? Les cas sont-ils importants ?

Jean-Paul Pinte : Selon cette nouvelle étude, le chevauchement croissant entre le commerce mondial des armes et l'industrie de la surveillance secrète risque de nuire à la sécurité nationale des États-Unis et créera le potentiel d'encore plus d'abus à moins que davantage de responsabilité ne soit introduite.

La recherche du groupe de réflexion américain Atlantic Council, offre l'une des comptabilités les plus approfondies jamais réunies sur une industrie de la surveillance transcontinentale en plein essor qui gagne des milliards de dollars et pourtant parvient surtout à rester en dehors des feux de la rampe. Après des années de demande croissante de produits de piratage informatique et d'une augmentation des abus signalés par des entreprises comme NSO Group, les pays du monde entier tentent maintenant de faire face à cette industrie en grande partie cachée.

Le rapport est basé sur 20 ans de données collectées lors du salon de la cybersurveillance ISS World et de salons de l'armement comme le français Milipol, où le piratage est le segment commercial qui connaît la croissance la plus rapide aux côtés de produits plus traditionnels comme les armes à feu et les chars. Ses auteurs ont examiné 224 sociétés de surveillance présentes à ces salons, examiné leur matériel marketing, examiné où dans le monde elles faisaient la publicité de leurs produits et détaillé les ventes connues d'outils de surveillance et de piratage.

Ils soutiennent également que de nombreuses entreprises qui commercialisent à l'échelle internationale, en particulier auprès d'adversaires de l'OTAN, sont des « proliférateurs irresponsables » et méritent plus d'attention de la part des décideurs politiques.

Ces sociétés incluent Cellebrite d'Israël, qui développe des outils de piratage téléphonique et d'analyse légale, et qui vend dans le monde entier à des pays tels que les États-Unis, la Russie et la Chine. L'entreprise a déjà subi un contrecoup important en raison, par exemple, de son rôle lors de la répression chinoise à Hong Kong et de la découverte que sa technologie était utilisée par un "escadron de la mort" bangladais.

"Lorsque ces entreprises commencent à vendre leurs marchandises aux membres de l'OTAN et à leurs adversaires", indique le rapport, "cela devrait susciter des inquiétudes en matière de sécurité nationale chez tous les clients".

Le commerce est de plus en plus mondial, selon le rapport, avec 75 % des entreprises vendant des produits de cybersurveillance et d'intrusion en dehors de leur propre continent. L'auteur principal Winnona DeSombre, membre de la Cyber Statecraft Initiative de l'Atlantic Council, affirme que de telles ventes signalent des problèmes potentiels de surveillance.

« Il ne semble pas y avoir de volonté d'autoréglementation pour la majorité de ces entreprises », dit-elle.

En qualifiant ces entreprises de «proliférateurs irresponsables», DeSombre espère encourager les législateurs du monde entier à cibler certaines entreprises pour une réglementation plus stricte.

Si ces marchés se développent et qu’il y a des obstacles à leur réglementation c’est parce que l’industrie de la cybersurveillance se cache bien : les sociétés de messagerie et les revendeurs de logiciels espions sont courants, et les vendeurs comme les acheteurs utilisent une variété d’outils pour dissimuler leur collaboration. Les chercheurs ont quelques suggestions sur la façon dont les États pourraient apprendre à comprendre cet écosystème en croissance et à mieux le contrôler. Ils recommandent des exigences plus strictes pour le processus de vente. Chaque fournisseur doit savoir comment les clients potentiels peuvent utiliser ou abuser de leurs outils de piratage.

En vendant des technologies de surveillance numérique aux services en charge de la sécurité publique en Chine, des entreprises technologiques européennes risquent d’exacerber des atteintes aux droits humains généralisées, révèle Amnesty International dans un nouveau rapport d’enquête. L’organisation publie ses conclusions en amont d’une réunion très importante tenue à Bruxelles le 22 septembre, au cours de laquelle le Parlement européen et les États membres de l’UE décideront ou pas de renforcer les règles laxistes qui régissent les exportations dans le secteur de la surveillance.

Amnesty International a découvert que trois entreprises installées en France, aux Pays-Bas et en Suède ont vendu des systèmes de surveillance numérique, tels que des outils de reconnaissance faciale et des caméras réseau, à des acteurs stratégiques du dispositif chinois de surveillance de masse. Les produits exportés ont parfois été directement destinés aux programmes de surveillance de masse non ciblée mis en place par la Chine, posant ainsi le risque d’un usage contre les Ouïghours et d’autres groupes ethniques à majorité musulmane sur le territoire.

En Birmanie, depuis son coup d'État du 1er février, l'armée utilise, en plus de son arsenal létal, des drones à vocation militaire et des outils liés à la guerre électronique pour surveiller les manifestants et traquer les meneurs. Des cyberarmes, pourtant interdites de vente en raison des sanctions prises à l'encontre du pays à la suite de l'expulsion des Rohingyas en 2018.

Tout comme pour la vente d'armes, celles des outils de surveillance ne se fait pas forcément directement avec les pays. Les États passent plutôt par des intermédiaires. Il s'agit généralement d'entreprises servant de couverture pour acheter ces armes cyber. Elles les revendent ensuite aux États. C'est ce scénario qui semble être privilégié en Birmanie. Le New York Times a ainsi relevé que l'un des intermédiaires les plus importants au Myanmar est le docteur Kyaw Kyaw Htun. Il est partenaire de plusieurs sociétés, dont une porte le nom de MySpace International. Le site de cette société cliente de Cellebrite a, du jour au lendemain, supprimé son site Web lors de l'enquête du NYT.

 A l'heure du tout connecté, des prestataires de service fournissent à des États tiers de l'Union Européenne des solutions logicielles interceptant et surveillant les communications entre personnes privées. Cette surveillance permet, dans certains États, de poursuivre des dissidents. La présente étude s'intéresse aux modalités d'exportations de ce type de logiciels.

Comment ces entreprises s’y prennent-elles pour éviter les punitions des Etats ? Pourrions-nous voir nos armes se retourner contre nous ? Ont-elles des intérêts au-delà des ambitions commerciales ? Quels sont-ils ?

Lorsque ces entreprises commencent à vendre leurs marchandises aux membres de l'OTAN et à leurs adversaires, cela devrait susciter des inquiétudes en matière de sécurité nationale chez tous les clients et pourtant les punitions se font rares.

Les gouvernements ont récemment fait des pas vers certaines formes de contrôle. L'UE a adopté des règles plus strictes sur la technologie de surveillance l'année dernière, dans le but d'accroître la transparence de l'industrie. Et au cours du mois dernier, les États-Unis ont adopté de nouvelles règles de licence plus strictes pour la vente d'outils d'intrusion. La célèbre société israélienne de logiciels espions NSO Group était l'une des nombreuses sociétés ajoutées à une liste noire américaine en raison d'allégations selon lesquelles les logiciels espions fournis à des gouvernements étrangers auraient ensuite été utilisés pour cibler de manière malveillante des responsables gouvernementaux, des journalistes, des hommes d'affaires, des militants, des universitaires et des employés d'ambassade. NSO a toujours nié les actes répréhensibles et a fait valoir qu'il enquêtait strictement sur les abus et excluait les clients incriminés.

Des experts des droits de l'homme des Nations Unies ont récemment sonné l'alarme au sujet de ce qu'ils ont appelé « l'utilisation croissante de mercenaires dans le cyberespace ».

Il est indéniable que les cyber-activités ont la capacité de provoquer des violations à la fois dans les conflits armés et en temps de paix, et donc que toute une variété de droits sont engagés", a déclaré Jelena Aparac, présidente d'un groupe de travail des Nations Unies sur la question, dans un communiqué. une déclaration. Le groupe a appelé les législateurs internationaux à réglementer plus efficacement l'industrie afin de protéger «le droit à la vie, les droits sociaux économiques, la liberté d'expression, la vie privée et le droit à l'autodétermination».

L'un des obstacles est que l'industrie de la cybersurveillance regorge d'obscurcissements : les sociétés écrans et les revendeurs sont courants, et les vendeurs comme les acheteurs utilisent une multitude d'outils pour masquer leurs interactions.

« Il n'y a pas suffisamment de connaissances sur l'industrie dans le public, où vous pouvez distinguer les entreprises irresponsables des responsables », explique DeSombre.

Le rapport souligne la récente inculpation d'anciens membres du renseignement américain qui travaillaient pour les Émirats arabes unis comme preuve que les capacités initialement développées par des gouvernements amis peuvent finir par être utilisées à d'autres fins d'espionnage. Les outils de piratage et l'expertise développés par les agences américaines ont ensuite été utilisés par les Émirats arabes unis pour espionner des centaines de cibles, dont des Américains.

Les chercheurs ont quelques suggestions sur la façon dont les gouvernements pourraient apprendre à comprendre et à contrôler cet écosystème en pleine croissance. Ils recommandent de mettre en place des exigences plus strictes de « connaître votre client » pour l'industrie, afin que chaque vendeur comprenne mieux comment les clients potentiels pourraient utiliser ou abuser d'un outil de piratage.

Les chercheurs soutiennent que les pays de l'OTAN, qui accueillent de nombreux événements commerciaux de cybersurveillance importants, devraient limiter la participation de vendeurs irresponsables aux foires aux armements. Ils encouragent également une plus grande coopération internationale pour débarrasser les lois d'exportation des lacunes qui permettent aux vendeurs d'échapper aux contrôles et de vendre à des régimes autoritaires. Enfin, ils encouragent à nommer et à humilier les vendeurs et acheteurs irresponsables.

« Notre analyse indique qu'il existe un groupe important d'entreprises privées prêtes à agir de manière irresponsable : des capacités de marketing qui risquent de devenir des outils d'oppression pour les régimes autoritaires ou des outils stratégiques pour les alliés non membres de l'OTAN », conclut le rapport.

Sans de telles actions, prévient-il, le monde fait face à une « perspective sombre » : « un nombre croissant d'entreprises privées qui voient peu de conséquences au renforcement des cyber-arsenaux des principaux adversaires occidentaux, ne font que du profit ».