Quand la technologie dépasse la gouvernance · Global Voices
Image via À mi-parcours. CC PAR 4.0
En décembre 2021, Eliza Triantafillou, journaliste au média indépendant grec The Inside Story, cherchait le sujet de son prochain article lorsqu’elle a vu que la société mère de Facebook, Meta, avait publié un rapport plus tôt dans le mois sur la « surveillance à la location ». » industrie.
L’article qu’elle a produit en réponse fait partie d’une série de reportages de journalistes grecs qui ont révélé les détails d’un scandale d’écoutes téléphoniques et de surveillance de plusieurs mois intitulé « Watergate on Steroids ». Ces résultats mettent en évidence les lacunes des réglementations gouvernementales et des capacités techniques pour suivre l’évolution rapide de l’industrie de la surveillance privée, qui permet ensuite à ces mêmes gouvernements de surveiller leurs citoyens.
Jusqu’à présent, il y a eu quatre tentatives confirmées d’infecter des journalistes, des politiciens et même des agents du renseignement grecs avec un logiciel espion appelé Predator, qui est capable de surveiller les téléphones de manière avancée, notamment d’enregistrer des conversations et d’accéder à des chats cryptés.
La connexion grecque
En décembre dernier, Triantifillou a remarqué que le rapport de Meta et un autre publié le même jour par le laboratoire de recherche basé à Toronto, Citizen Lab, étaient liés à la Grèce. Les deux rapports ont conclu que Predator, un logiciel espion de surveillance sophistiqué, avait été acheté pour être utilisé en Grèce, entre autres pays. Cytrox, la société nord-macédonienne qui avait développé Predator, appartient à un groupe de fournisseurs de surveillance mercenaires commercialisés sous Intellexa, qui est présent en Grèce depuis 2020.
Lorsque Triantafillou a publié son article en janvier 2022, elle s’est concentrée sur la façon dont Meta avait supprimé environ 300 comptes Facebook et Instagram liés à Cytrox, et comment Cytrox avait « usurpé » de vraies URL, y compris celles de médias crédibles. Au premier coup d’œil, ces liens semblaient authentiques, mais ils avaient une syntaxe légèrement différente de l’URL réelle (comme une lettre manquante ou un symbole supplémentaire). Ils pourraient être utilisés pour inciter les cibles à cliquer dessus, activant ainsi l’infection du téléphone par Predator.
« Nous avons vu qu’il y avait une proportion inégale de domaines grecs dans cette liste, car Meta a signalé 310 domaines usurpés, et 43 d’entre eux étaient d’intérêt grec », a déclaré Triantafillou, lors d’une interview sur Zoom. « Nous sommes un tout petit pays. Notre part dans le trafic Internet mondial est bien inférieure à celle des autres pays qui, d’après ces deux rapports, font partie des clients.
Le diable est dans les détails : surveillance « légale » versus « illégale »
Lorsque Thanasis Koukakis, un autre journaliste grec, a lu l’article de Triantafillou, il s’est rendu compte que bon nombre des domaines usurpés de la liste imitaient les organes d’information pour lesquels il travaillait ou avec lesquels il collaborait encore. Koukakis avait récemment découvert des cas de fraude dans le pays. Il se doutait déjà que ses conversations étaient écoutées et, en août 2020, avait porté plainte auprès de l’ADAE (Communications Privacy Assurance Authority), lui demandant de procéder aux vérifications nécessaires. Aujourd’hui, on sait qu’il était sur écoute par le Service national de renseignement (EYP). Il a reçu une réponse de l’ADAE en juillet 2021 lui indiquant qu’il n’y avait pas eu violation de la loi, ce qui, en fin de compte, ne signifiait pas qu’il n’était pas espionné.
Les écoutes téléphoniques par EYP sont techniquement « légales », alors que l’utilisation de logiciels espions tels que Predator est considérée comme illégale en Grèce. L’article 19 de la Constitution grecque protège le droit au respect de la vie privée dans les communications. Cependant, des exceptions sont faites pour des raisons de sécurité nationale et pour enquêter sur des crimes graves. La surveillance de Koukakis par EYP a été justifiée par l’agence de renseignement utilisant l’argument de la sécurité nationale, même s’il n’est pas clair comment le travail d’un journaliste d’investigation aurait pu nuire à la sécurité nationale. En mars 2021, le gouvernement a adopté un amendement révoquant le droit des citoyens de savoir s’ils avaient été surveillés après la fin de leur surveillance, c’est pourquoi Koukakis n’a pas été informé de ses écoutes téléphoniques.
Le gouvernement, lui aussi, a utilisé cette dichotomie entre légal et illégal pour se défendre. Le Premier ministre a déclaré publiquement que, même si la surveillance d’un politicien était mauvaise, elle était « politiquement acceptable » et que le récit autour de la question ne devrait pas saper le « travail important » de l’agence de renseignement. Lorsque Kyriakos Mitsotakis a pris le pouvoir en tant que Premier ministre, il a pris l’EYP sous son propre commandement. Aujourd’hui, alors qu’il affirme n’avoir aucune connaissance des écoutes téléphoniques, le chef de l’EYP, ainsi que le propre neveu de Mitsotakis et secrétaire général du bureau du Premier ministre, Grigoris Dimitriadis, ont démissionné de leurs fonctions.
Un motif plus grand
En novembre 2021, le journaliste grec Stavros Malichudis scrutait l’actualité lorsqu’il a vu un exposé du journal Efimerida ton Syntakton. Il s’agissait des écoutes téléphoniques d’EYP d’un certain nombre de citoyens, dont des journalistes. L’article décrivait le cas d’un journaliste travaillant sur les questions de migration. En lisant attentivement les détails, Malichudis s’est rendu compte qu’il était ce journaliste. En réponse aux lettres envoyées par l’agence de presse AFP – avec qui Malichudis travaillait à l’époque – les autorités grecques ont nié à deux reprises l’avoir espionné. « … aucune surveillance des journalistes n’a lieu en Grèce, et que vous trouveriez une telle surveillance inacceptable. Pour éviter tout doute, le gouvernement grec le ferait aussi », lit-on dans une réponse, signée par le ministre d’État.
Koukakis, Triantafillou et Malichudis témoignant devant la commission EuroParl PEGA sur l’utilisation de logiciels espions en Grèce. Crédit : Eric VIDAL/© Union Européenne 2022 – Source : EP.
Des écoutes téléphoniques aux logiciels espions
En janvier 2022, toujours dans l’ignorance de savoir si ses conversations téléphoniques avaient été mises sur écoute, Koukakis, après avoir lu le rapport Inside Story, envoie des fichiers extraits de son téléphone à Citizen Lab, qui a ensuite confirmé qu’il avait été ciblé par Predator. Un message texte d’un numéro inconnu avait partagé un lien vers ce qui ressemblait à un article de blog crédible. En réalité, il s’agissait d’une URL usurpée. Après que Koukakis ait cliqué dessus, son téléphone a été infecté par le logiciel espion. Peu de temps après, grâce à un article de Reporters Unitedil a découvert que il avait également été mis sur écoute par le service de renseignement.
Alors que le gouvernement grec a nié avoir jamais acheté ou utilisé Predator, d’autres cibles ont été identifiées. En juillet de cette année, Nikos Androulakis, le président du troisième plus grand parti politique grec, PASOK-KINAL, a découvert qu’il avait reçu un SMS en septembre 2021 contenant le même lien qui avait infecté le téléphone de Koukakis. Il n’avait pas cliqué sur le lien et n’a donc pas été affecté. En septembre, un autre politicien – un ancien ministre du parti Syriza, Christos Spirtzis – a déclaré qu’il avait également été la cible d’une tentative d’installation de Predator.
Cela conduit à une suspicion crédible sur le rôle du gouvernement dans cette surveillance, qui est étayée par un rapport de Google. De plus, le moment de l’écoute téléphonique soi-disant «légale» de Koukakis et l’infection de son téléphone par Predator semblent trop étroitement alignés pour être une coïncidence. EYP a annulé sa surveillance après que Koukakis a déposé une plainte et, peu de temps après, son téléphone a été infecté par Predator. Témoignant au Parlement européen début septembre, Koukasis a déclaré qu’il pensait que le logiciel espion était utilisé par le gouvernement. « Parce que d’une part, le coût de ces services d’Intellexa, d’après ce que Citizen Lab nous a dit, ainsi que les listes de prix qui ont été trouvées sur le Dark Web, ne peuvent pas être supportés par une personne privée », a-t-il déclaré. . « Pourrait [the government have used] un particulier comme intermédiaire ? La réponse est oui. »
Triantafillou est enclin à être d’accord. « Notre hypothèse – qui n’est pas qu’une hypothèse – est qu’il n’est pas nécessaire de l’acheter pour l’utiliser », a-t-elle déclaré à propos de Predator. « Il n’est pas non plus nécessaire de l’utiliser directement. » La structure d’entreprise complexe de Cytrox et d’Intellexa, la société qui le commercialise, s’étend sur plusieurs pays et implique de nombreuses entités enregistrées. Le fondateur d’Intellexa, Tal Dillian, un ancien officier du renseignement des Forces de défense israéliennes, a déménagé en Grèce après avoir rencontré des problèmes juridiques avec les autorités chypriotes pour une interview Forbes en 2019. En 2020, Intellexa a été constituée en Grèce.
Ce diagramme, tiré d’un procès intenté contre Dillian par son partenaire commercial, Avi Rubenstein à Tel Aviv, montre une structure compliquée d’entreprises qui comprend à la fois Intellexa et Cytrox. Image via Eliza Triantafillou. Utilisé avec autorisation.
Avec quatre tentatives connues pour cibler des citoyens grecs avec Predator, la question est, y a-t-il plus de cibles ? Triantafillou le croit. « Quand vous avez un outil très puissant et très cher, qui vaut des millions et que vous avez créé au moins 50 domaines et que vous n’avez utilisé que https://globalvoices.org/2022/09/26/the-greek-spyware-scandal-when-technology-outpaces-governance/ un pour cibler Androulakis, Koukakis et maintenant Spirtzis, c’est pratiquement stupide de dépenser cette somme d’argent juste pour cibler trois personnes », dit-elle.
Suivre la technologie
Ce scandale en cours en Grèce touche à la racine d’un problème auquel tous les pays sont aux prises : les mécanismes de régulation et les organisations destinées à protéger les droits numériques des civils n’ont pas suivi l’évolution du temps.
La soi-disant « surveillance légale » de nos jours ne couvre qu’une partie de la communication que nous entreprenons sur nos téléphones. Une grande partie de cela – la messagerie sur des applications cryptées comme WhatsApp et Signal, parlant sur Zoom – est en dehors du cadre des écoutes téléphoniques. Ils nécessitent des techniques de surveillance beaucoup plus avancées fournies par des sociétés de surveillance mercenaires comme Cytrox.
Rammos Christos, chef de l’ADAE, s’exprimant au Parlement européen, l’a souligné et a déclaré que son organisation a la « compétence pour contrôler uniquement les fournisseurs de services de télécommunications, et non les agences générales ou les sociétés privées ».
Stavros Malichudis, le journaliste qui a été mis sur écoute par le gouvernement, a fait vérifier son téléphone pour les logiciels espions après les récentes révélations (toutes claires). Et avec les journalistes Triantafillou et Koukakis, il a témoigné au Parlement européen début septembre, s’appuyant sur des expériences personnelles pour montrer que les écoutes téléphoniques et la surveillance des logiciels espions font partie d’une tentative insidieuse de porter atteinte au droit fondamental à la vie privée. Une commission d’enquête parlementaire est également en cours en Grèce, et les développements se poursuivent.