Les journalistes italiens refusent de se laisser intimider par les logiciels espions. En février, la Fédération nationale de la presse italienne et l’Ordre des journalistes ont annoncé le dépôt d’une plainte pénale, après que le gouvernement d’extrême droite eut bloqué les questions parlementaires sur l’utilisation illégale de logiciels espions par l’État.

Cette décision intervient à la suite de preuves accablantes montrant l’utilisation par les autorités de logiciels espions pour surveiller journalistes et militants. L’application WhatsApp de Francesco Cancellato, rédacteur en chef du média d’investigation Fanpage, a été piratée à l’aide du logiciel espion Graphite, produit par la société israélienne Paragon. Fanpage avait précédemment publié une enquête infiltrée qui révélait le soutien affiché au fascisme de la branche jeunesse du parti au pouvoir. Tout porte à croire que Cancellato a été ciblé pour des raisons d’hostilité politique, et non pour des motifs de sécurité légitimes.

M. Cancellato n’est pas un cas isolé. Le gouvernement a confirmé qu’au moins sept téléphones avaient été infectés par Graphite. Parmi les cibles figurent les activistes Luca Casarini et Giuseppe Caccia, fondateurs de Mediterranea Saving Humans, une organisation de la société civile apportant une aide humanitaire sur la route migratoire de la mer Méditerranée. D’autres collaborateurs de l’organisation ont déposé des plaintes auprès de la police au sujet des logiciels espions, notamment le prêtre Mattia Ferrari, aumônier à bord de leur navire de sauvetage.

Le schéma est manifeste : le gouvernement italien semble espionner systématiquement ceux qui critiquent ses politiques migratoires répressives. En 2017, l’Italie avait déjà conclu un accord avec le gouvernement libyen, finançant les autorités locales pour intercepter des migrants et les retenir dans des conditions inhumaines. Humam El Gomati, un militant libyen basé en Suède qui documente les violations des droits humains dans les centres de détention libyens, figure parmi les cibles du logiciel espion. Le militant David Yambio, qui a fourni à la Cour pénale internationale des preuves des violations des droits des migrants en Libye, a également déclaré avoir fait l’objet d’une attaque par un logiciel espion. Tandis que les personnes détenues en Libye sont privées de toute voix, le gouvernement semble désormais déterminé à faire taire ceux qui parlent en leur nom.

Le gouvernement italien a confié une enquête à l’Agence nationale de cybersécurité, tout en niant toute implication – une ligne pourtant contredite par un fonctionnaire qui a déclaré que le gouvernement avait approuvé l’utilisation de logiciels espions contre Casarini et Caccia. Le président du Parlement, Lorenzo Fontana, a invoqué le secret de la sécurité nationale pour refuser toute autre information en réponse aux questions parlementaires, une manœuvre dénoncée par les militants comme une opération de dissimulation.

L’utilisation de logiciels espions et l’intensification des restrictions imposées aux manifestations ont conduit l’Italie à figurer sur la dernière liste de surveillance du CIVICUS Monitor, qui met en évidence les pays connaissant un grave déclin en matière de libertés civiques. En plus des restrictions actuelles, une nouvelle loi sur la sécurité, en cours d’approbation, menace de renforcer encore les pouvoirs de surveillance de l’État et d’alourdir les sanctions contre les manifestations.

WhatsApp a confirmé en janvier que près de 100 utilisateurs issus de la société civile et des médias avaient été ciblés par le logiciel espion Paragon. Les conditions d’utilisation de Paragon sont censées exclure ce type d’utilisation et, en février, la société aurait mis fin à ses relations avec le gouvernement italien. Cependant, Paragon compterait aujourd’hui quelque 35 clients gouvernementaux, parmi lesquels figurent des démocraties établies comme l’Australie, le Canada, Chypre et le Danemark. Plus généralement, l’utilisation de logiciels espions contre la société civile et les médias est désormais documentée sur tous les continents habités, dans des pays aussi divers que le Salvador, la Lituanie, le Maroc ou encore le Togo.

Le problème Pegasus

Le cas italien, et l’implication de Paragon, ne sont que la partie émergée de l’iceberg. Jusqu’à présent, l’attention mondiale s’est principalement portée sur Pegasus, un autre logiciel espion produit, comme Graphite, par une société israélienne, NSO, et vendu uniquement aux gouvernements. Ces deux logiciels reposent sur une technologie « zéro clic » : contrairement à de nombreux virus, ils ne nécessitent ni lien ni téléchargement pour infecter un appareil. Ils sont donc pratiquement indétectables et extraordinairement invasifs. Ils donnent à l’utilisateur un accès total au téléphone : caméra, microphone, données et géolocalisation.

L’ampleur de l’utilisation de Pegasus est vertigineuse. En 2020, le projet Pegasus, une collaboration entre des organisations de la société civile et des médias, a révélé que les gouvernements l’avaient utilisé contre près de 50 000 cibles dans 24 pays. Parmi les cibles figuraient des militants de la société civile, des journalistes, des politiciens de l’opposition et des chefs d’entreprise. Pourtant, l’utilisation du logiciel est censée être limitée à la lutte contre les crimes graves, notamment le terrorisme – une justification incompatible avec les activités légitimes de la société civile.

Cinq ans après ces révélations choquantes, les abus persistent, avec de nouvelles preuves que de nombreux États utilisent encore des logiciels espions en toute impunité.

La Jordanie est l’un des derniers États à avoir utilisé Pegasus contre des militants. Des recherches menées par Access Now, un groupe international de la société civile, ont révélé que les autorités avaient pris pour cible au moins 35 personnes, bien que le chiffre réel soit probablement bien plus élevé. Des militants, des journalistes et des avocats ont été visés par cette surveillance, dans le cadre d’une intensification de la répression étatique, combinée à des tactiques telles que l’arrestation et la détention de militants, de journalistes et de membres de syndicats pour avoir manifesté ou publié des commentaires critiques en ligne. Plus récemment, les autorités ont criminalisé les personnes ayant manifesté ou s’étant exprimées en solidarité avec la Palestine.

L’autoritaire Rwanda aurait ciblé 3 500 personnes à l’aide de Pegasus, dont plusieurs exilés, illustrant la portée transnationale de ces logiciels dans la répression de la dissidence. Le gouvernement a effectivement utilisé cette technologie comme arme pour surveiller et intimider ses détracteurs, tant à l’intérieur du pays qu’à l’étranger.

Les conséquences de la surveillance peuvent être particulièrement graves pour les groupes marginalisés. En Thaïlande, au moins 35 téléphones ont été infectés par Pegasus en réponse aux manifestations de masse pour la démocratie et contre le pouvoir royal en 2020 et 2021. Les femmes et les personnes LGBTQI+ ont été particulièrement visées, soulevant des craintes de chantage et de harcèlement.

D’autres États se sont également rendus coupable de ciblage fondé sur le sexe. L’année dernière, il a été rapporté que l’agence polonaise de sécurité intérieure avait utilisé Pegasus pour cibler Krystyna Suchanow, dirigeante de la grève des femmes de Pologne. Cette surveillance est intervenue au plus fort des manifestations de masse organisées en 2020 contre l’instauration d’une interdiction quasi-totale de l’avortement. Dans un rare exemple de volonté de rendre des comptes, le gouvernement arrivé au pouvoir en 2023 s’est engagé à enquêter sur l’utilisation abusive de logiciels espions par ses prédécesseurs. Cette enquête a permis de révéler qu’entre 2017 et 2022, l’État avait ciblé 578 personnes, dont des militants, des journalistes et des opposants politiques.

Même lorsque l’utilisation d’un logiciel espion est révélée, il reste extrêmement difficile de demander des comptes aux États. Il existe cependant un espoir de justice en Espagne où, l’année dernière, la Haute Cour espagnole a rouvert une enquête sur l’utilisation de Pegasus contre plusieurs personnalités politiques de premier plan, dont le Premier ministre Pedro Sánchez. En 2022, les révélations selon lesquelles des journalistes, des avocats et des responsables politiques liés au mouvement séparatiste catalan avaient été ciblés avaient provoqué un scandale politique.

Mais si la justice finit par triompher en Espagne, cela constituera une exception. Le nouveau gouvernement polonais tente peut-être de rompre avec le passé, mais la Hongrie demeure sous l’emprise des nationalistes de droite, ce qui explique l’absence de conséquences notables après les révélations concernant l’usage de Pegasus par l’État contre des journalistes et des critiques du dirigeant autoritaire Viktor Orbán. En Thaïlande également, les perspectives de justice restent faibles. En novembre dernier, un tribunal a rejeté une plainte contre NSO déposée par le militant pour la démocratie Jatupat Boonpattararaksa. Le tribunal a déclaré que les preuves fournies ne suffisaient pas à démontrer que son appareil avait bien été infecté.

Une industrie puissante

Les États peuvent justifier l’usage de logiciels espions en invoquant des raisons légitimes telles que la lutte contre la criminalité organisée et la prévention d’attentats terroristes. Toutefois, comme chaque cas en témoigne, nombreux sont ceux qui utilisent ces arguments comme prétexte. Et même ceux qui commencent avec des motivations légitimes finissent souvent par abuser de cette technologie une fois qu’ils l’ont en leur possession. Le pouvoir extraordinaire de cette technologie rend les dérives presque inévitables en l’absence de mécanismes de contrôle solides et indépendants – un dispositif qui fait défaut dans de nombreux pays utilisateurs de logiciels espions.

L’un des principaux obstacles pour demander des comptes aux États réside dans le réseau souvent complexe de vendeurs, courtiers et revendeurs, qui rend difficile le traçage des ventes et de l’utilisation des logiciels espions. L’année dernière, par exemple, une société luxembourgeoise, Q Cyber Technologies SARL, a été identifiée comme faisant partie de la chaîne d’approvisionnement ayant permis la vente de Pegasus à l’Indonésie.

En 2023, le ministère public européen a ouvert une enquête sur le gouvernement grec, soupçonné d’avoir délivré illégalement des licences d’exportation du logiciel espion Predator à des États d’Afrique et d’Asie. Cette enquête fait suite à des révélations montrant que le gouvernement grec avait utilisé Predator pour surveiller de nombreux journalistes et responsables politiques, provoquant un scandale politique et un vote de défiance auquel le gouvernement a toutefois survécu. L’un des aspects troublants de cette affaire est qu’elle laisse entrevoir la possibilité que les États membres de l’Union européenne (UE) puissent contribuer à la diffusion de technologies de surveillance dans des pays dont le bilan en matière de droits humains est médiocre.

Les abus de logiciels espions dont on a connaissance ne représentent probablement qu’une infime partie du phénomène, et d’autres outils que Graphite, Pegasus et Predator sont en circulation. Le secteur évolue rapidement, et de nouvelles entreprises chercheront probablement à développer des logiciels encore plus intrusifs, dans un marché où certains États seront toujours disposés à acheter des solutions plus sophistiquées. En 2023 par exemple, le gouvernement indien aurait exploré des alternatives à Pegasus après que son utilisation du logiciel contre des activistes ait été révélée. Plutôt que de renoncer à la surveillance, les États pris sur le fait tendent à se tourner vers des options plus discrètes.

Le rôle d’Israël mérite une attention particulière. Les entreprises technologiques israéliennes sont au cœur du commerce mondial des logiciels espions et sont étroitement liées à l’État : il est courant que d’anciens militaires israéliens rejoignent ce secteur technologique. Presque tous les chercheurs du NSO, par exemple, ont travaillé pour l’agence de renseignement militaire israélienne.

Ce système de « porte tournante » permet à l’armée israélienne d’avoir un accès direct aux technologies les plus récentes, et la Palestine lui sert de terrain d’expérimentation : un véritable laboratoire pour les technologies de surveillance ensuite vendues au reste du monde. Le gouvernement israélien a utilisé Pegasus pour pirater les appareils de militants palestiniens des droits humains, mettant ainsi leur sécurité en danger. Les logiciels espions s’inscrivent dans un dispositif plus large de surveillance systématique des Palestiniens par Israël, qui recourt de plus en plus à la reconnaissance faciale et aux écoutes téléphoniques.

Par ailleurs, NSO ne conclut aucun contrat sans l’aval de l’État israélien, qui délivre les licences d’exportation nécessaires – un mécanisme que le gouvernement peut utiliser comme levier diplomatique. La vente de Pegasus à des pays du Moyen-Orient tels que l’Arabie saoudite et les Émirats arabes unis a pu, au moins avant l’attaque actuelle du conflit avec la Palestine et le Liban, contribuer à un rapprochement diplomatique.

Sous l’administration Biden, le gouvernement américain a placé NSO et d’autres sociétés israéliennes spécialisées dans les logiciels espions sur liste noire, les empêchant de commercer avec des entreprises américaines. L’administration a également annoncé son intention de refuser l’octroi de visas aux personnes impliquées dans l’utilisation abusive de logiciels espions commerciaux. L’administration actuelle devrait s’engager à maintenir ces mesures de protection.

Nécessité d’un règlement

Compte tenu des incertitudes actuelles – qu’il s’agisse de l’identité et du nombre de personnes ciblées ou de la nature opaque des structures étatiques qui utilisent des logiciels espions – il devient urgent d’instaurer un moratoire mondial sur la fourniture et l’utilisation de logiciels espions. Les États démocratiques devraient montrer la voie à suivre.

Il est évident qu’une réglementation s’impose, tant à l’échelle nationale que mondiale, et que la société civile – qui est fréquemment la cible de ces pratiques – doit pouvoir jouer un rôle central dans son élaboration. Jusqu’à présent, le bilan reste toutefois très contrasté. Les tentatives de réglementation ont été pour la plupart fragmentaires, réactives et facilement contournées.

Le Pacte numérique mondial, adopté l’an dernier lors du Sommet de l’avenir des Nations unies, n’a pas permis de véritables avancées. Dans le cadre de ce pacte, les États se sont engagés à veiller à ce que les technologies de surveillance soient conformes au droit international. Toutefois, le texte se montre nettement moins ambitieux sur la cybersécurité que ne l’espérait la société civile, et ne mentionne pas explicitement les défis spécifiques posés par les logiciels espions.

Une autre évolution de 2024 risque d’aggraver la situation en matière de surveillance. La Convention des Nations unies sur la cybercriminalité, adoptée en décembre dernier, a été façonnée sous l’influence d’États répressifs, au premier rang desquels la Russie. Les organisations de la société civile et certains États démocratiques ont travaillé dur pour atténuer les pires dérives d’un projet initial de traité qui aurait donné davantage de leviers aux régimes autoritaires pour museler l’expression en ligne sous couvert de lutte contre la cybercriminalité. Malgré ces efforts, la version finale du traité reste insuffisante : elle ne comporte toujours pas de protections claires, spécifiques et contraignantes en matière de droits humains, notamment en ce qui concerne le droit à la vie privée, renvoyant cette question à la compétence des législations nationales. Elle favorise une coopération internationale élargie en matière de collecte et de partage des données, ce qui offre aux États un potentiel inquiétant d’extension des pouvoirs de surveillance.

L’adoption, l’année dernière, de la loi européenne sur la liberté des médias a marqué une étape potentiellement plus positive. Cette législation protège notamment les journalistes contre la surveillance, y compris via des logiciels espions, afin de préserver la confidentialité des sources. Toutefois, en tant que loi sur les médias, sa protection ne s’étend qu’aux journalistes, laissant d’autres catégories de personnes vulnérables.

En outre, la nouvelle loi prévoit plusieurs exceptions notables : elle autorise la surveillance sous réserve d’une autorisation judiciaire préalable ou en lien avec des « crimes graves ». Elle permet également aux États d’invoquer la sécurité nationale ou de déléguer la surveillance à des entreprises privées. Dans les pays de l’UE peu respectueux de l’État de droit, comme la Hongrie, cela revient à permettre à l’exécutif de qualifier arbitrairement une activité légitime de menace pour la sécurité nationale ou une dissidence de crime grave, en exploitant son contrôle sur le pouvoir judiciaire.

Le plaidoyer de la société civile a permis d’éviter l’adoption de dispositions encore plus régressives. Mais il reste nécessaire, avec la loi européenne sur la liberté des médias et la convention sur la cybercriminalité, de suivre la mise en œuvre des nouvelles règles, de surveiller les pratiques, et de dénoncer les abus des États.

Des groupes de la société civile comme Access Now, Amnesty International et Citizen Lab ont travaillé sans relâche pour enquêter sur les logiciels espions et exposer publiquement leur utilisation abusive. Les États ne doivent en aucun cas entraver cette action essentielle de la société civile. Ceux qui se revendiquent démocratiques, comme l’Italie, n’ont rien à craindre d’une société civile qui agit comme un contre-pouvoir. Ils devraient au contraire favoriser cet examen indépendant et garantir la justice lorsque des utilisations illégales de logiciels espions sont révélées.

Pour des entretiens ou de plus amples informations, veuillez contacter research@civicus.org