Des « amis » numériques qui vous espionnent : l’offre de surveillance orwellienne faite aux militaires colombiens

Une aiguille dans une botte de foin. Cette aiguille, c’est une brochure confidentielle cachée dans plus de 500.000 documents appartenant aux forces militaires colombiennes, et auxquels Forbidden Stories a eu accès. Lié à une obscure entreprise appelée S2T Unlocking Cyberspace, ce fascicule illustre comment les outils de renseignement en sources ouvertes peuvent être utilisés pour une surveillance orwellienne, y compris pour cibler journalistes et activistes.

Dans le flot de vos notifications Facebook, une demande d’ami. Vous ne connaissez pas cette personne, mais vous avez quelques amis en commun. Et puis en regardant de plus près, des intérêts similaires. Sur son profil, cet individu partage du contenu qui vous parle, lié à une de vos passions ou au domaine dans lequel vous travaillez. Demande acceptée, vous passez à autre chose.

Quelques jours plus tard, cette même personne va peut-être vous envoyer un message, voire une demande pour rejoindre un groupe fermé sur Facebook dont vous êtes l’administrateur. Elle vous demandera peut-être même votre numéro WhatsApp, simplement pour vous partager un lien au sujet d’une cause dont vous parlez souvent en ligne. Par curiosité, vous cliquez.

Soudain, sans que vous vous en rendiez compte, votre appareil se transforme en machine d’espionnage virtuel. Cet ami que vous avez accepté est en fait un agent des services de renseignement ou de police, qui se cache derrière un faux compte très réaliste, appelé avatar. Désormais, il peut accéder à vos informations personnelles et même activer la caméra de l’appareil pour vous espionner en temps réel.

Cette surveillance numérique, doublée d’une infiltration, est par exemple utilisée par les forces de l’ordre pour traquer les réseaux criminels, hackers dangereux ou encore groupes terroristes. Mais d’après une brochure confidentielle consultée par Forbidden Stories, ce type d’outils est également marketé comme pouvant être utilisé contre des journalistes ou des activistes. Forbidden Stories a remonté le fil de cette brochure. Trouvée parmi plus de 500.000 documents de l’armée colombienne fournis au consortium par le groupe de hackers Guacayama, elle vante les services d’une obscure entreprise de cybersécurité dénommée S2T Unlocking Cyberspace. L’entreprise, qui possède ou a possédé des bureaux à Singapour, au Sri Lanka, au Royaume-Uni et à Israël – si l’on en croit les informations de son site recoupés avec ceux du fascicule confidentiel, n’a répondu à aucune de nos demandes d’interview.

Cette société, qui se présente comme une entreprise de renseignement en sources ouvertes (OSINT) prétend dans sa brochure disposer d’outils qui vont au-delà même de l’OSINT dans son sens le plus strict ; une récolte d’informations publiques accessibles à tous. Parmi les produits qu’elle propose : un outil d’hameçonnage automatisé pour installer à distance des logiciels malveillants, ou encore d’énormes bases de données publicitaires permettant de suivre des cibles déterminées, et la possibilité de créer aisément des campagnes d’influence à l’aide de faux comptes.

Cette enquête est un nouveau volet du projet « Story Killers », un projet collaboratif mené par Forbidden Stories avec 30 médias partenaires. Pendant six mois, plus de 100 journalistes ont poursuivi le travail de la journaliste indienne Gauri Lankesh sur la désinformation. Parmi les révélations du projet, cette enquête décrypte la manière dont S2T et d’autres sociétés d’OSINT ont profité d’un marché non réglementé, pour proposer et vendre des outils de surveillance numérique de plus en plus sophistiqués, à des clients connus pour avoir espionné journalistes et dissidents. Plus grave encore, le ciblage de la société civile ou des journalistes est souvent présenté comme un argument commercial par ces entreprises. Des révélations, d’autant plus préoccupantes, que les rapports sur les abus commis par des entreprises OSINT, se multiplient.

« Cette brochure, ainsi que d’autres rapports publiés cette année sur les entreprises de renseignement numérique, mettent au jour une nouvelle industrie de la surveillance que nous ne connaissions pas et qui semble en pleine expansion », dit craindre Etienne Maynier, expert en sécurité numérique chez Amnesty International. « Nous devons réellement y prêter attention parce qu’il y a un risque élevé d’abus, partout dans le monde. »

Un épisode de Black Mirror

La brochure de 93 pages de S2T peut se lire comme un roman d’espionnage, ou se regarder un épisode de Black Mirror, avec des graphiques techniques qui illustrent le fonctionnement de l’outil.

Forbidden Stories a partagé ce document à des experts en informatique, qui se sont accordés à dire que S2T proposait une offre qui allait au-delà des opérations en sources ouvertes usuelles avec le risque de fournir un dispositif de surveillance de masse. « Je n’ai jamais vu un schéma aussi complet qui relie l’ensemble du processus à autant de techniques et qui ciblent explicitement les activistes », s’est inquiété Jack Poulson, directeur exécutif de Tech Inquiry, une organisation basée aux États-Unis qui veille sur l’industrie de la surveillance.

« Nous savons depuis longtemps qu’il existe des plateformes de renseignement numérique, mais elles ne proposent en théorie que de récolter des informations publiques pour esquisser le profil d’un individu ». La différence ici, a déclaré Etienne Maynier, d’Amnesty, « est que [cet outil] est en réalité bien plus intrusif. »

Comme décrit dans la brochure, le système OSINT intègre entre autres de la reconnaissance faciale et du traitement de langage. Le système peut, par exemple, utiliser une intelligence artificielle pour identifier un visage à partir d’une vidéo donnée, d’images de caméras de vidéosurveillance ou de vidéos téléchargées sur les réseaux sociaux. Également préoccupant, selon Jack Poulson : la prétendue capacité de l’outil à influencer le public.

Dans un graphique, l’entreprise explique partir d’une « question politique locale » et « identifier les principaux sujets de discussion et le sentiment général » d’un groupe cible. Ces sujets de discussion sont ensuite partagés sur les réseaux sociaux à l’aide d’un ensemble de faux comptes ou avatars programmés pour liker, partager et commenter les messages les uns des autres. Les avatars se cachent derrière un réseau complexe de proxies, ce qui les rend presque impossibles à détecter par les plateformes comme Facebook ou Twitter.

« La capacité à obtenir des données et diverses informations n’est qu’une partie du processus [OSINT] », a indiqué au média Haaretz, partenaire de Forbidden Stories, l’expert OSINT Dennis Citrinowicz. « L’autre facette est bien sûr la capacité à mener une opération d’influence. Il ne s’agit pas seulement d’avatars passifs, mais aussi d’ingénierie sociale à différents niveaux, dont le plus élevé est la campagne d’influence. »

Dans le cas de S2T, les campagnes d’influence sont présentées seulement comme une méthode parmi un large répertoire d’activités de surveillance, répertoriées par la brochure. L’outil facilite la localisation de la cible piratée. Car les informations pillées sur le smartphone peuvent être ensuite combinées à d’autres sources de données — communément détenues par des gouvernements ou des agences de renseignement. « Nous pouvons atteindre presque tous les utilisateurs de smartphones », écrit l’entreprise.

Journalistes et activistes en ligne de mire

L’OSINT consiste généralement à rassembler des informations accessibles à tous, comme un profil sur les réseaux sociaux, des résultats de recherche Google ou encore d’autres documents publics. Pour une agence gouvernementale, l’intérêt de ces outils peut être de rassembler des informations détaillées sur des criminels ou de potentiels terroristes par exemple. Pas franchement le profil d’Ortal Mogos, une journaliste devenue scénariste, selon ses informations LinkedIn. Pourtant c’est bien son profil qui apparaît dans la brochure S2T comme une « cible » désignée des outils OSINT de l’entreprise qui a fait l’objet d’un rapport. Impossible de savoir si l’ancienne journaliste a réellement été ciblée par un client de S2T ou si son profil et son nom ont simplement été utilisés pour illustrer la brochure. Ortal Mogos a décliné nos demandes d’interview.

Ce que l’on sait en revanche, c’est que la brochure a été jointe à un courriel échangé en mars 2022 entre des analystes du renseignement colombien. L’armée, selon les documents divulgués, a rencontré début 2022 les représentants de sept entreprises d’OSINT, dont S2T, dans le cadre d’un appel d’offres visant à obtenir un nouvel outil de renseignement en sources ouvertes.

Une source ayant connaissance des affaires militaires internes colombiennes a confirmé l’existence d’un projet visant à obtenir l’un de ces outils, mais n’a pu nous indiquer lequel avait potentiellement été acheté. L’une des sept entreprises, Delta IT Solutions, a par ailleurs confirmé à Forbidden Stories qu’elle avait envoyé une proposition de vente d’un système OSINT en septembre 2021, par le biais d’un intermédiaire nommé Anirudha Sharma Bhamidipati, et dont le nom apparaît dans les métadonnées du document S2T. Dans une lettre, les représentants de Delta IT Solutions ont aussi indiqué qu’ils étaient des « alliés stratégiques » de S2T, et que les deux entreprises avaient « un accord de distribution ouverte pour le marché colombien », en déclarant toutefois ne pas être sous contrat avec l’armée.

Dans une lettre de présentation adressée aux services de renseignement militaires colombiens, S2T fait la promotion de ses outils OSINT pour aider à lutter contre les groupes « malveillants », notamment : « les terroristes, les cybercriminels » et, plus surprenant, « les activistes anti-gouvernementaux ». Les utilisateurs de l’outil peuvent, par exemple, « identifier des cibles pour une enquête plus approfondie » à partir d’une « base de données d’activistes connus. »

La présentation de cet outil OSINT à la Colombie, un pays déjà connu pour avoir déjà traqué et intimidé des journalistes et militants, pose également question. Entre 2018 et 2019, des dizaines de journalistes ont été la cible du renseignement militaire colombien, à l’aide d’un outil OSINT de surveillance appelé Voyager Analytics, vendu par l’entreprise Voyager Labs, fondée en Israël et aujourd’hui basée aux États-Unis. Au printemps 2022, cette société israélienne s’est entretenue à nouveau avec des responsables du renseignement colombien. L’entreprise n’a pas répondu à nos questions.

Le ciblage d’activistes peut se faire encore plus précis. Une capture d’écran semble indiquer l’intérêt d’un client indien à acquérir cet outil pour surveiller la protestation sur les réseaux sociaux. Parmi près d’une douzaine d’études de cas datant de février 2020, se trouvent des exemples où l’outil a été utilisé pour analyser des « mots-clés dynamiques » liés aux manifestations d’étudiants en 2020 contre la loi indienne sur la citoyenneté et semble-t-il, aux coupures d’internet dans l’État du Jammu-et-Cachemire.

Ces outils OSINT pourraient ainsi être utilisés pour faciliter le piratage des journalistes et des voix critiques dans certains pays. « C’est la première phase de reconnaissance d’une surveillance qui se termine soit par l’accès aux comptes, soit aux appareils [des personnes visées] », prévient Eva Galperin, directrice de la cybersécurité à l’Electronic Frontier Foundation, au sujet de l’OSINT en général. « Il est directement lié aux arrestations, aux visites des forces de sécurité, aux passages à tabac, à la torture, à l’intimidation, aux poursuites judiciaires. »

Un marché mondial

S2T a été fondée en 2002, et est dirigée par l’entrepreneur Ori Sasson. Sur son site internet, l’entreprise affirme avoir des dizaines de clients sur les cinq continents et employer des personnes issues des agences de renseignement du Royaume-Uni, des États-Unis, de Russie et d’Israël, ainsi que des forces de l’ordre locales au Moyen-Orient, en Amérique centrale et en Amérique du Sud, et en Asie. Forbidden Stories a pu aussi identifier des clients à Singapour, en Israël et peut-être au Bangladesh, en Turquie, au Sri Lanka, en Inde et en Malaisie. Le site de S2T donne lui-même des indices sur certains de ses clients, notamment « un groupe de médias en Amérique centrale » et une « nation sud-américaine » où les outils ont été utilisés pour trouver « des informations pertinentes sur le commanditaire d’un enlèvement ». On trouve également des informations contenues dans la brochure destinée à l’armée colombienne, qui indique que des démonstrations du produit ont pu être faites en 2020, notamment à la marine indienne et à un homme d’affaires en Malaisie, Dato’ Mohamed Lofty Bin Mohamed.

Forbidden Stories a identifié une société basée en Israël qui semble être un revendeur de cette technologie. Cette entreprise, KS Process and Software Ltd, partage au moins une adresse et un numéro de téléphone avec S2T. Sur son site, la boîte se vante des techniques d’ingénierie sociale qu’elle utilise pour inciter ses cibles à partager des informations personnelles. Selon une brochure de deux pages téléchargeable sur son site, il apparaît que la plateforme a été utilisée par un parti politique turc, tirant profit des avatars pour recueillir des informations au sein de groupes fermés, et collecter des informations sur les opposants.

Un ancien employé qui s’est exprimé sous couvert d’anonymat a confirmé que l’entreprise a longtemps utilisé des techniques de collecte active de renseignements pour obtenir des informations sur une cible. L’employé a ajouté que la société s’était adressée à des États et des clients privés. Un récent rapport sur une entreprise de cybersurveillance comparable, a révélé que de tels outils ont été utilisés pour établir le profil de candidats à une entreprise, ou encore surveiller des ONG pour le compte de clients privés.

« On peut penser que comme c’est en [source] ouverte, c’est ok, mais si vous croisez des sources ouvertes obtenues à partir de fuites de données pour établir le profil de quelqu’un, ou si vous utilisez des données créées par une activité numérique sans que la personne ait conscience qu’elle génère cette information, alors ce n’est pas vraiment bon », a ajouté l’ancien employé.

S’il n’est pas certain que les précédentes entités nommées aient acheté ou non la plateforme de S2T, Forbidden Stories et ses partenaires ont pu tout de même identifier un client potentiel de S2T grâce à des données sur les exportations commerciales : La Direction générale du renseignement des forces du Bangladesh (DGFI).

L’effet dissuasif

En Colombie, les journalistes qui ont déjà été traqués par les outils OSINT ne savent toujours pas pourquoi ils ont été choisis comme cibles, il y a de ça trois ans. « Que la presse soit soumise à ce type d’enquête par les forces militaires de l’État, et que rien ne se passe, cela vous fait vous poser toutes sortes de questions », s’inquiète la journaliste María Alejandra Villamizar, qui avait été ciblée après l’interview d’un chef rebelle La Havane.

Les journalistes qui ont couvert ce scandale d’espionnage, connu en Colombie sous le nom des « dossiers secrets », ont été menacés. Lorsqu’il a commencé à travailler sur la surveillance militaire, Ricardo Calderon a trouvé une note collée sur sa voiture avec l’image d’un cercueil. Sa famille et ses sources ont également été menacées. « Le but était de torpiller l’enquête en attaquant des deux côtés » a-t-il expliqué.

Les journalistes qui font des reportages critiques sur l’armée colombienne, dont plusieurs reporters de Rutas del Conflicto, un média indépendant qui enquête sur plusieurs sujets allant des violations des droits de l’homme à la corruption et à la spéculation foncière, ont également été profilés via des outils OSINT. « L’idée était la suivante : « Il s’agit d’un média de gauche, d’un média d’opposition » et dans ce pays, historiquement, ceux qui ont été considérés comme différents, ont été tués, menacés, contraints à l’exil », a déclaré un reporter de Rutas del Conflicto, qui a préféré rester anonyme pour des raisons de sécurité.

En 2021, Meta, la maison mère de Facebook et Instagram, a publié un rapport sur l’industrie de la surveillance privée. Dans ce document, l’équipe de Meta identifie trois étapes dans la mise en place de cette « surveillance pour le compte de tiers » : la reconnaissance (collecte silencieuse d’informations), l’engagement (prise de contact avec les cibles) et l’exploitation (piratage et hameçonnage). L’investigation de Meta se conclut par le fait que « le ciblage est en fait indiscriminé et inclut les journalistes, les dissidents, les critiques des régimes autoritaires, les familles des opposants et les militants des droits de l’homme. »

En janvier, Meta a poursuivi en justice Voyager Labs pour avoir utilisé 38.000 faux comptes sur Facebook afin d’obtenir des informations pour leurs clients, soit 600.000 utilisateurs sur une période d’au moins trois mois. « Cette industrie collecte secrètement des informations que les gens partagent avec leur communauté, leur famille et leurs amis, sans supervision ni responsabilité, et d’une façon qui peut avoir un impact sur les droits civils des individus », a déclaré un représentant de Meta dans un communiqué.

Les experts en sécurité qui se sont entretenus avec Forbidden Stories s’inquiètent aussi du risque d’utilisation abusive de ces outils.

Les données récoltées sont « le genre d’informations biographiques qui donneraient à un gouvernement inamical beaucoup d’éléments sur lesquels travailler pour intimider un journaliste et l’empêcher de publier un article », s’est inquiétée Rachel Levinson-Waldman, directrice générale du programme Liberté et sécurité nationale du Centre Brennan.

L’histoire des journalistes colombiens montre comment ces outils OSINT peuvent avoir un effet dissuasif pour les reporters, contraints pour certains d’adapter leurs pratiques pour répondre aux nouvelles menaces numériques. Dans les semaines qui ont suivi l’annonce de leur profilage révélé par l’enquête des « dossiers secrets », des journalistes de Rutas del Conflicto ont entamé des séances de thérapie de groupe, nous a indiqué un journaliste du média. Beaucoup ont cessé d’inclure leur signature et de poster sur les réseaux sociaux. Certains ont même quitté la profession.

« Vous commencez à réévaluer vos choix de vie », a confessé le journaliste de Rutas. « Vous finissez par vous demander si votre travail va se transformer en une source constante de persécution. »