Hacké : La technologie israélienne au service de l’espionnage des journalistes marocains

Poursuivi pour un tweet critique, le journaliste marocain Omar Radi aurait été surveillé pendant une année grâce à un logiciel de la société NSO Group installé sur son portable. C’est ce que révèle un rapport d’Amnesty International publié le 22 juin 2020. Forbidden Stories revient sur les enquêtes qui font d’Omar Radi une cible pour les autorités de son pays.

Disponible en

Par Phineas Rueckert et Cécile Schilis-Gallego

13 mai 2024

La scène, digne d’un film d’espionnage, se déroule près de Casablanca à la fin de l’été 2019. Le journaliste Omar Radi a rendez-vous pour déjeuner avec Maati Monjib, un ami historien qu’il n’a pas vu depuis plusieurs mois. Entre le procès sans fin de l’un et les mésaventures à répétition avec les autorités de l’autre, les deux hommes ont beaucoup de choses à se raconter.

Maati Monjib se sait sur écoutes depuis plusieurs mois et a pris les précautions nécessaires. Amnesty International lui a fait savoir que son téléphone était régulièrement infecté par un logiciel espion depuis 2018. Cette technologie, développée par la société israélienne NSO Group, permet d’aspirer toutes les données du téléphone ciblé, mais aussi d’en activer la caméra et le microphone. Un scenario orwellien devenu réalité.

Ce que les deux amis ne savent pas encore, c’est qu’au moment même où ils se parlent, le logiciel a changé de cible. Aux alentours de 13h, Omar Radi prend son téléphone pour aller vérifier une information sur internet. Il n’en faut pas plus pour déclencher l’attaque particulièrement sophistiquée et presque indétectable du logiciel israélien.

Le logiciel espion de NSO peut aspirer toutes les données d’un téléphone (Source : Hacking Team Leak)

Trois jours plus tôt, NSO vient pourtant de publier ses engagements en matière de droits de l’homme pour répondre aux rapports qui régulièrement dénoncent les utilisations abusives de son logiciel.

En surfant sur le web, Omar Radi vient probablement, sans le savoir, de donner au régime marocain, que l’on soupçonne d’être client de NSO depuis 2018, le contrôle total et invisible de son téléphone. « C’est l’Etat qui détient ton passé, ton présent, tes photos, tes SMS », s’insurge le journaliste aujourd’hui.

Cette intrusion fait partie des cinq attaques contre Omar Radi révélées dans un rapport d’Amnesty International, auquel ont eu accès 16 médias internationaux coordonnés par Forbidden Stories. L’ONG démontre, analyses techniques à l’appui, que le journaliste a été victime d’attaques dites par « injection réseau » entre janvier 2019 et janvier 2020.

Ce n’est pas un hasard si Omar Radi a été pris pour cible, Depuis plus de dix ans, il publie des enquêtes qui dérangent les autorités marocaines. Il a notamment travaillé sur les liens entre les pouvoirs politique et économique au Maroc mais aussi sur les violations des droits de l’homme dans le pays.

Les enquêtes sensibles d’Omar Radi

 

  • En octobre 2017, son travail sur le mouvement de contestation du Rif dit le « Hirak » lui vaut une garde à vue de 48h. Cette année-là, Omar Radi réalise – avec ATTAC Maroc – un film documentaire sur le sujet, « Mourir plutôt que vivre humilié », qui retrace le soulèvement des habitants de la région d’Al Hoceima au nord du pays. Le récit commence avec la mort de Mohsen Fikri, un vendeur de poissons broyé dans une benne à ordure alors qu’il tente de s’opposer à la saisie de sa marchandise. Au Maroc, l’événement déclenche un mouvement de protestation qui prend une tournure de plus en plus politique au fil des mois. En mars 2020, Omar Radi est condamné à 4 mois de prison avec sursis pour avoir fustigé la condamnation de membres du Hirak.
  • En 2013, Omar Radi obtient le Prix du journalisme d’investigation IMS-AMJI pour son enquête sur l’exploitation des carrières de sable. Il y dénonce l’opacité du système d’agréments qui permet l’exploitation de ces carrières et notamment l’implication de sociétés domiciliées dans des paradis fiscaux qu’il identifie en épluchant les registres du commerce.
  • En 2016, l’affaire dite « des serviteurs de l’Etat » fait scandale au Maroc. Omar Radi ne signe pas l’enquête mais il est à l’origine de la fuite de données à l’origine du scandale. Les documents qu’il parvient à se procurer montrent que des terrains très coûteux ont été offerts gracieusement à des personnalités proches des autorités marocaines.
  • Omar Radi enquête aujourd’hui sur la question des dépossessions de terre sous l’ère du roi Mohammed VI. Ses travaux ont pour objectif de reprendre la liste exhaustive de ces expropriations et de comparer les dédommagements perçus et les prix de revente des terrains.

Un espionnage presque invisible

L’équipe d’Amnesty a conclu avec quasi-certitude que ces attaques portaient la signature de l’entreprise israélienne NSO. L’analyse des noms de domaine retrouvés sur le téléphone d’Omar Radi montre des similitudes troublantes avec les attaques ciblant Maati Monjib, détaillées dans un rapport de l’ONG quelques mois plus tôt.

La méthode utilisée est particulièrement redoutable. Il a suffi au journaliste de se connecter à un site non chiffré (http au lieu de https) pour que son trafic soit automatiquement redirigé en quelques millisecondes vers un autre site web permettant l’installation du logiciel espion sur son téléphone. Le navigateur web est ensuite immédiatement revenu sur le site web auquel Omar Radi tentait d’accéder.

Fonctionnement d’une attaque dite par « injection réseau » (Source : Amnesty International)

« Il est très effrayant que le simple fait de visiter un site web bénin soit un moyen d’infecter votre téléphone », souligne Bill Marczak de Citizen Lab, une organisation qui enquête depuis plusieurs années sur les attaques de ce logiciel, communément appelé « Pegasus », contre des membres de la société civile.

Pendant longtemps, pour infecter un téléphone, on envoyait des SMS avec des liens malveillants. « Il y a eu beaucoup de rapports sur cette méthode d’infection et il est devenu évident pour NSO qu’il y avait de fortes chances d’être repéré en faisant ça, » explique Bill Marczak. « Avec des redirections par injection réseau, vous voyez peut-être un site web bizarre clignoter dans une barre d’URL, mais que pouvez-vous faire ? Peut-être que vous essayez de sortir de l’application le plus rapidement possible mais il est sans doute déjà trop tard à ce moment-là ».

Capture d’écran du téléphone d’Omar Radi le 27 janvier 2020.

« Ça m’est arrivé deux ou trois fois sur le téléphone », se souvient Omar Radi. « La plupart des fois, je vois la barre d’URL changer mais je reviens au site que je cherchais ». Le journaliste n’est pas particulièrement inquiet sur le moment mais il prend tout de même une capture d’écran de son navigateur le 27 janvier 2020 qu’il transmet au « Security Lab », l’équipe de spécialistes de la sécurité numérique d’Amnesty.

L’ONG soupçonne Omar Radi d’être surveillé depuis son arrestation en décembre 2019 pour la publication d’un tweet où il critiquait un jugement rendu contre des activistes. A distance, le « Security Lab » le guide pour qu’il puisse inspecter son téléphone. Il regarde notamment l’historique des erreurs répertoriées dans le téléphone. Ces rapports sont produits très fréquemment et leur disparition est souvent l’indice d’une contamination de l’appareil.

Les données sont analysées à Berlin. Quelques jours plus tard, Amnesty le recontacte pour lui annoncer que son téléphone a été infecté. « On commence à se dire : qu’est-ce que j’ai pu dire au téléphone qui soit sensible ? Est-ce que j’ai des sources qui risquent d’être dans l’embarras ? », explique le journaliste.

Dans le téléphone, ils ont trouvé des traces, souvent à partir des noms de domaine, qui permettent de faire le lien avec la société NSO. « Il se peut qu’ils aient réutilisé une fois le même serveur ou qu’ils aient réutilisé la même adresse électronique pour enregistrer différents noms de domaine », explique Claudio Guarnieri, le directeur du « Security Lab ».

Soutenez-nous, nous enquêterons

Nous avons besoin de votre aide pour exposer ce que les ennemis de la presse cherchent à taire.

Dans la ligne de mire du régime

Derrière cette mission d’espionnage, difficile de ne pas suspecter les autorités marocaines. NSO a toujours affirmé ne vendre qu’à des gouvernements. Le Maroc a d’ailleurs déjà été précédemment identifié comme un client potentiel de la société israélienne par Citizen Lab. De plus, les attaques dites par injection réseau nécessitent de passer par une fausse antenne-relais physiquement proche de la cible ou d’avoir accès à l’infrastructure interne d’un opérateur de réseau mobile. Dans ce cas précis, un opérateur local. Les autorités marocaines n’ont pas répondu aux questions du consortium Forbidden Stories.

Le journaliste Omar Radi est dans le radar des autorités depuis un moment déjà. Le 17 mars 2020, il a été condamné à une peine de quatre mois d’emprisonnement avec sursis et à une amende de 500 dirhams dont il fait aujourd’hui appel. Le motif de cette condamnation : un tweet d’avril 2019 dans lequel il qualifie de « bourreau » un magistrat ayant confirmé la condamnation de membres d’un mouvement de contestation sociale appelé Hirak du Rif. Ce n’est qu’en décembre, neufs mois après la publication du message, qu’il est arrêté. Il reste en détention quelques jours à Casablanca avant d’être libéré à titre provisoire.

« J’ai été puni pour l’ensemble de mon œuvre », pense Omar Radi. « Ils font un cumul et ensuite ils cherchent un prétexte pour arrêter la personne ». Selon le chercheur spécialiste des médias Bouziane Zaid, cette pratique n’est pas rare. « Avant un journaliste était arrêté pour ce qu’il écrivait », analyse-t-il. « Aujourd’hui ils arrêtent les journalistes pour d’autres motifs qui n’ont rien à voir avec le journalisme ».

Amnesty dénombre au moins 10 militants arrêtés illégalement et poursuivis en justice depuis novembre 2019, tous inculpés comme Omar Radi d’outrage envers des fonctionnaires, des institutions publiques, le roi ou la monarchie.

Le militant des droits de l’homme Adbessadak El Bouchattaoui, qui représente des militants du mouvement du Rif, a lui aussi été condamné à 20 mois de prison pour « menace et outrage à des organes publics » en 2018. Amnesty a découvert qu’il avait également été la cible d’une attaque du logiciel espion de NSO en 2017. A l’époque, la société israélienne avait répondu qu’elle enquêterait sur ces allégations.

« Mourir plutôt que vivre humilié », le documentaire co-réalisé par Omar Radi en 2018.

C’est la première fois qu’Omar Radi est condamné mais ce n’est pas la première fois que ses enquêtes sont entravées. Lorsqu’il couvre le mouvement de contestation du Rif, sujet hautement sensible pour les autorités marocaines, il est retenu 48h en garde à vue. Il ne se sent alors plus en sécurité dans la région et s’appuie sur des images filmées par les acteurs du mouvement pour réaliser un documentaire avec l’organisation militante Attac Maroc.

Il suspecte que sa collaboration avec des médias internationaux lui attire les foudres du régime. Malgré des publications dans TelQuel, Le Desk et Le Monde, entre autres, il lui a fallu douze ans pour obtenir une carte de presse professionnelle. D’autres journalistes travaillant pour la presse étrangère ont fait part de problèmes similaires.

Plusieurs de ses enquêtes attaquent directement les intérêts des autorités en place. En 2013, il publie une enquête sur l’exploitation des carrières de sable du pays, autorisée par l’obtention d’un agrément. « On a fait la cartographie des carrières de sable au Maroc et on a découvert que ce sont des privilèges accordés par le palais à des notables des régions, des hommes politiques ou des chefs de partis politiques », explique-t-il. Le journaliste souligne l’opacité du système, notamment l’implication de sociétés domiciliées dans des paradis fiscaux qu’il identifie en épluchant des registres du commerce. Ce travail lui vaut le Prix du journalisme d’investigation IMS-AMJI.

Il a fallu 12 ans au journaliste Omar Radi pour obtenir une carte de presse (Photo : Omar Radi)

En 2016, il obtient un accès au registre foncier marocain, normalement réservé à certaines professions. Il en sort au plus vite des contrats de vente, des exonérations fiscales, des extraits de cadastre. « J’ai commencé à extraire les informations à 16h et à 18h le système a été fermé. Ils ont compris que j’étais en train d’en extraire des informations », se souvient-t-il. Les documents montrent que des terrains très coûteux ont été offerts gracieusement à des personnalités proches de l’Etat. Il partage les informations qu’il a récupérées avec plusieurs journaux. Au Maroc, les révélations restent connues sous le nom de « l’affaire des serviteurs de l’Etat ».

Plus récemment, financé par une bourse de la Bertha Foundation, il se penche sur la question des dépossessions de terre sous l’ère du roi Mohammed VI. « J’ai fait la liste exhaustive de ces expropriations de terres avec les personnes qui ont été expropriées : leurs noms, les familles, les superficies mais aussi la nature des terrains ». Il prépare par exemple un article à paraître sur le site d’information indépendant Le Desk dans lequel il affirme que des gens ont été dédommagés à 25 dirhams (2,5 euros) le mètre carré pour des terrains qui ont été revendus quelque temps après 600 fois plus cher.

Au sud de Rabat, en 2019, Omar Radi assiste à une manifestation dans le cadre de son enquête sur les dépossessions de terres (Photo : Omar Radi)

Quand il mène ces enquêtes, Omar Radi soupçonne les autorités de ne jamais être très loin. Il raconte qu’au début de l’année, revenant d’un reportage sur la prédation foncière, il reçoit des appels des personnes qu’il a interrogées. Toutes lui demandent de ne pas publier l’article à cause des menaces de la police.

Une longue histoire de surveillance

Le Maroc a une longue histoire de surveillance qui a été largement décryptée par les médias et les ONG spécialistes. Un rapport d’avril 2015 de Privacy International explique que « l’Etat a investi massivement dans l’espionnage de ses citoyens afin de surveiller leurs activités et de réprimer toute forme de dissidence ».

En 2011, le Maroc acquiert les infrastructures de surveillance Eagle qui lui permettent de censurer Internet et d’en surveiller le trafic. Le pays apparaît également dans la liste des pays qui ont acheté des technologies de surveillance à des sociétés suisses en 2013 et 2014.

En 2015, une fuite de documents révèle que le Maroc fait partie des 21 pays clients de l’entreprise italienne Hacking Team, dont le logiciel phare permettait de prendre le contrôle total d’un ordinateur.

Plus récemment, dans un article publié en 2019 par l’organisation Committee to Protect Journalists (CPJ), plusieurs journalistes marocains décrivent des dysfonctionnements de leurs appareils électroniques qu’ils interprètent comme des signes d’intrusion.

En 2018, le département « Citizen Lab » de l’université de Toronto a idéntifié la présence de NSO dans 45 pays dont le Maroc (Photo : Citizen Lab)

Cette année-là, Citizen Lab révèle que NSO a réussi à utiliser une faille de l’application WhatsApp pour infecter des cibles grâce à de simples appels manqués. L’ancien journaliste marocain Aboubakr Jamaï, qui a reçu l’International Press Freedom Award de CPJ en 2003, figure parmi les cibles identifiées. Résidant aujourd’hui en France et désormais activiste, il connaît bien Omar Radi avec qui il a fondé la version française du site Lakome. Ce site d’information indépendant a fait l’objet de pressions jusqu’à ce que la version arabe ferme en 2013 et que son directeur soit arrêté.

Selon Aboubakr Jamaï, les autorités surveillent avant tout ceux qu’elles perçoivent comme des opposants. Avec d’autres activistes ciblés par le logiciel de NSO, il a envoyé une lettre officielle à l’agence marocaine en charge de la protection des données, qui a répondu ne pas être compétente en la matière. « Ce qui est ridicule parce que nos données ont été volées et nos téléphones ont été piratés », s’étonne l’ancien journaliste. Interrogée sur l’exploitation de cette faille WhatsApp au moment des révélations, la société NSO avait encore une fois répondu qu’elle enquêterait sur tout abus de sa technologie.

Parer les attaques à répétition

Omar Radi estime que la surveillance dont il fait l’objet a commencé après sa participation au mouvement de contestation du 20 février 2011 dit du « Printemps arabe ». « J’ai beaucoup travaillé au Mouvement du 20 Février, notamment dans l’organisation, des trucs un peu sous-terrain », explique-t-il.

En 2015, il découvre que son ordinateur est infecté par le logiciel de la société Hacking Team. Selon Bill Marczak de Citizen Lab, « dans ce monde des gouvernements répressifs qui utilisent ces logiciels espions, il y a souvent ces mêmes cibles qui sont visées encore et encore, au fil des ans, avec toutes sortes de technologies différentes ».

Le téléphone d’Omar Radi infecté par un logiciel espion (Photo : Omar Radi)

Omar Radi prend alors l’habitude de vérifier ses appareils électroniques. « Je ne clique jamais sur les liens, je n’ouvre jamais de pièces jointes, j’évite les clefs USB venues de l’extérieur », énumère-t-il. Il donne lui-même des formations en sécurité informatique à d’autres journalistes et activistes.

Malgré son intérêt pour les questions de cybersécurité, il n’arrive pas à se prémunir contre les nouvelles attaques du logiciel de NSO. « Plus besoin de cliquer sur quoi que ce soit, cette méthode d’infection ne demande aucune interaction de l’utilisateur. On est complètement impuissant ».

Ne plus pouvoir parler librement au téléphone est d’autant plus délicat pour le journaliste qu’il décrit des conditions de terrain difficiles où les sources ont peur de parler. Il garde en souvenir un incident survenu en 2016 pendant un reportage dans la province d’Ifrane où l’émir du Qatar s’apprêtait à faire construire un palais. Dès qu’il est arrivé sur place, il s’est senti suivi.

« Tous les gens à qui il a parlé ont été interrogés par la police marocaine après son passage », explique le journaliste Serge Michel, directeur du Monde Afrique à l’époque. « Ça a permis à la police marocaine de reconstituer ce qu’il était en train de faire ». Le site le360, proche du pouvoir, met alors en ligne un article critiquant ce qu’il s’apprête à publier. Omar Radi, effrayé par ces tactiques, finit par renoncer.

En plus de ces techniques de « publication préventive » le journaliste doit faire face à des campagnes de diffamation. Le site Chouf.tv a publié en juin 2019 plusieurs articles attaquant directement le journaliste. L’un d’eux révèle l’identité de sa colocataire avec laquelle il est accusé de vivre « en dehors de l’institution du mariage ». « Il existe au Maroc une sorte de presse en ligne qui mène des campagnes de diffamation à l’encontre des défenseurs des droits de l’homme ou des journalistes qui osent enquêter sur certains sujets », explique Danna Ingleton, directrice adjointe d’Amnesty Tech. « Et nous savons qu’Omar a été visé par l’une de ces campagnes de diffamation. »

Le stand de la société NSO au selon Milipol à Paris en novembre 2019.

Les droits de l’homme en question

Comment la société NSO justifie-t-elle de vendre sa technologie au régime marocain ? Dans une réponse écrite aux questions du consortium Forbidden Stories, un porte-parole de la société israélienne a affirmé que celle-ci ne pouvait, pour des raisons de confidentialité, ni confirmer ni démentir l’utilisation par le Maroc de ses technologies. « NSO est profondément troublé par les allégations contenues dans la lettre d’Amnesty International », ajoute-t-il. « Nous sommes en train d’examiner les informations qu’elle contient et nous ouvrirons une enquête si cela se justifie. »

L’entreprise de cybersurveillance s’est par le passé engagée à « suspendre ou mettre fin à l’utilisation » de sa technologie s’il y avait « des raisons suffisantes de penser qu’[elle avait] pu être utilisé[e] de manière abusive ». Cependant, NSO est extrêmement opaque et ne divulgue ni l’identité de ses clients ni les mesures qu’elle prend lorsque des abus sont avérés. « Il n’y a pas de mécanisme de contrôle, pas de transparence », déplore David Kaye, Rapporteur spécial des Nations Unies sur la liberté d’opinion et d’expression. Impossible de savoir par exemple si l’entreprise avait déjà avait pris des mesures après la révélation d’utilisations abusives de son logiciel au Maroc en octobre 2019. NSO n’a pas répondu à Forbidden Stories sur ce point précis.

Bill Marczak de Citizen Lab le dit sans détours : « Il n’y a pas eu beaucoup de preuves que la politique des droits de l’homme de NSO ait vraiment aidé les droits de l’homme, nous attendons toujours ces preuves ».

Omar Radi, quant à lui, ne croit pas à ce qu’il considère comme de fausses promesses. Convaincu que l’espionnage perdurera, il tente de s’adapter au mieux. Il multiplie les sécurités sur ses appareils électroniques et évite d’utiliser son téléphone. « L’effet négatif le plus important c’est que ça dissuade les gens de parler de savoir que je suis sur écoute ».

Dans sa vie personnelle également, ces écoutes ont des conséquences. « Tous les coups sont permis donc ils peuvent aussi t’attaquer via tes proches », s’inquiète-t-il. « J’accepte que je sois la cible, mais je n’ai pas demandé leur avis aux personnes qui me sont liées ».

Il sait que quoi qu’il fasse, il ne pourra pas se protéger en permanence. « Je ne vais pas passer ma vie à vérifier s’il y a ce virus, ils auront toujours le moyen de savoir ce qui se passe dans notre téléphone, notre ordinateur. C’est David contre Goliath ».

Protégez votre travail

Vous êtes journaliste et vous êtes menacé en raison de vos enquêtes ? Sécurisez vos informations auprès de Forbidden Stories.

À lire aussi

Screenshot 2024-12-20 at 18.44
signal-2024-11-22-154820_002
US-VOTE-POLITICS-TRUMP