Nous avons laissé tomber les lanceurs d'alerte, les journalistes et les militants

Collin Anderson est chercheur en sécurité informatique à Washington. Il est spécialisé en cybersécurité et technologies de la surveillance dans les pays qui restreignent la libre circulation de l'information.

Claudio Guarnieri est chercheur en sécurité informatique chez Amnesty International et fondateur de Security without Borders.

Dans les archives du service de cybersécurité VirusTotal dort un fragment du malware qui a été envoyé au journaliste iranien Vahid Pour Ostad fin 2012. L'histoire de Pour Ostad est représentative de celle de nombreux journalistes de sa génération. Après une brève période de liberté ayant la presse iranienne de se développer au tournant du siècle, des membres extrémistes du gouvernement iranien ont résolu de poursuivre les journalistes et de faire fermer les journaux dissidents. Ostad a payé le prix fort pour ses enquêtes sur le système juridique du pays : il a été arrêté à plusieurs reprises, licencié des journaux pour lesquels il travaillait, et enfin, il a dû quitter l’Iran.

Le malware en question a été envoyé par un agent du ministère des Renseignements et de la Sécurité nationale (VEVAK) qui avait interrogé le journaliste. Ce dernier était considéré comme une menace et exploitait des dossiers privés. À cette époque, Pour Ostad avait subi un si grand nombre de tentatives de spearphishing qu'il était en mesure reconnaître l'attaque du premier coup d'oeil. Mais ce qu'il ignorait, c'est que les personnes qui tentaient de le pirater étaient impliquées dans une vaste campagne de surveillance des dissidents politiques et des ennemis du régime. Depuis plusieurs années, nous étudions les attaques ciblées contre la société civile et les activistes d'Iran et d'ailleurs. Nous en avons tiré un enseignement fondamental : les militants pour les droits de l'homme et les journalistes tiennent aujourd'hui un rôle essentiel dans la propagation de secrets militaires et technologiques, la dénonciation de pressions de gouvernements étrangers, et la diffusion de rapports sur les failles de sécurité d'infrastructures essentielles. Pourtant, ces personnes disposent d'une protection moindre que les citoyens lambda. Or, cette carence est néfaste pour tout le monde, puisqu'elle dissuade tant les activistes que les professionnels de collecter des informations à risque.

Le groupe derrière l'attaque de Pour Ostad est affilié aux services secrets iraniens et surnommé « Magic Kitten » par la société de sécurité informatique CrowdStrike. Il cible les dissidents et les ennemis étrangers de l’Iran depuis plus d'une décennie. Contrairement à la plupart des opérateurs du pays, le groupe fait beaucoup d’efforts pour dissimuler ses opérations, en s'appuyant notamment sur un réseau de sites piratés afin de cacher ses communications avec un autre réseau. Au cours de notre propre enquête, nous avons découvert que Magic Kitten avait attaqué des ordinateurs en Allemagne, en Indonésie, en Iran, en Irak, au Liban, aux Pays-Bas, en Palestine, au Pakistan, au Qatar, en Suède, en Suisse et aux Émirats Arabes Unis. Et ce n’est là qu’un aperçu d’une vaste campagne d’espionnage.

Bien que l’on sache peu de choses au sujet de Magic Kitten – le groupe fait preuve d’une grande discrétion – nous avons pu, grâce à des indicateurs techniques, associer le groupe à la description de CrowdStrike et à une opération baptisée SILVERBOLT dans une présentation de la National Security Agency (NSA) dévoilée par Edward Snowden. Alors même que la NSA se servait des opérations de Magic Kitten pour espionner les individus que le groupe attaquait et pour observer les mouvements du groupe, elle n’a pas pris la peine de mettre en garde les personnes concernées, comme Pour Ostad, contre les menaces posées par le piratage iranien.

Alors que la plupart des rapports des entreprises de cybersécurité se concentrent sur les attaques contre le secteur privé, la quasi-totalité opérations de piratage d'origine iranienne connues ciblent les dissidents, et ce, à l’aide des mêmes outils et techniques.

En mai 2016, le service de sécurité informatique Palo Alto Networks a révélé qu’un groupe de production de malwares baptisé Infy s'était attaqué au gouvernement américain et à divers groupes internationaux. À l'insu de Palo Alto Networks, Infy ciblait les blogueurs de la diaspora iranienne depuis au moins 2011. Il était aussi l'un des nombreux groupes à avoir tenté de pirater les militants à la veille des élections présidentielles de 2013. Guidé par la politique intérieure iranienne, Infy a refait surface pour traquer les femmes qui se portaient candidates aux élections législatives de février 2016. En utilisant la méthode de sinkhole, nous avons pu détourner le trafic du malware vers nos serveurs. C'est ainsi que nous avons découvert une vaste opération cybercriminelle qui a compromis des compagnies pétrolières saoudiennes, des minorités ethniques dans les régions frontalières iraniennes, des groupes d’opposition armés et des journalistes persanophones en Europe.

Peu de dissidents iraniens se sont étonnés des attaques DDoS contre des banques américaines, sans doute commanditées par le gouvernement iranien en guise de riposte contre des sanctions américaines. Les mêmes techniques, et peut-être la même infrastructure, avaient été utilisées contre eux pendant des années pour étouffer l'information dans les moments critiques. La veille des élections parlementaires iraniennes de mars 2012, les employés de la BBC n'ont pas pu accéder à leur boîte mail en raison d'une attaque DDoS attribuée à l'Iran. Les médias en langue persane s'attendaient à ce que les élections et les manifestations soient accueillies par des attaques DDoS et des suppressions de sites web. Contrairement aux banques américaines, ils ne pouvaient pas faire grand-chose de plus que de désactiver leurs sites pour éviter les factures coûteuses de leurs hébergeurs.

Le problème ne se limite pas aux piratages iraniens. Au cours de l'année écoulée, des défenseurs égyptiens des droits de l'homme et des militants pour les droits du travail au Qatar ont été piratés à plusieurs reprises par des hackers apparemment basés en Inde. Ces mêmes acteurs qui ciblent la société civile du Moyen-Orient ont également tenté de pirater des diplomates émiratis et des responsables de la sécurité nationale saoudienne dans les semaines précédant une crise – partiellement déclenchée par le piratage – dans la région du Golfe. Ce chevauchement est présent depuis que les gouvernements utilisent le piratage à des fins stratégiques. L'un des premiers rapports sur le cyberespionnage chinois, le rapport GhostNet publié par Citizen Lab et SecDev Group, a dévoilé une liste de victimes comprenant des ambassades, des banques et des institutions militaires, mais aussi des dissidents tibétains, des médias et des ONG.

De nombreux chercheurs en cybersécurité se concentrent sur les pays où les gouvernements cherchent constamment à étouffer la dissidence et à exercer un contrôle général sur le débat public. Pour ces gouvernements, les opposants politiques, militants des droits de l'homme et médias indépendants sont parmi les cibles prioritaires, et les outils de collecte de renseignements habituellement réservés à l'espionnage d'ennemis étrangers ou de réseaux criminels transnationaux servent souvent à surveiller leurs propres administrés.

Savoir que quelqu'un essaie de vous pirater est une information à ne pas prendre à la légère. Pour les dissidents des régimes oppressifs, le piratage gouvernemental peut avoir des conséquences graves. Nous avons découvert au moins deux cas au cours desquels des hackers financés par l'État iranien ont piraté des individus dans les semaines précédant leur arrestation par les forces de sécurité. Quand le gouvernement décide de vous faire surveiller, c’est qu’il est temps de quitter le pays. C'est souvent une question de vie ou de mort.

De la même manière, comme l'a documenté l'Associated Press, les agences gouvernementales américaines n'ont prévenu presque aucune des personnes concernées par les attaques informatiques russes contre les journalistes étrangers et les opposants domestiques au président Vladimir Poutine. La menace était pourtant bien réelle. Le cas est loin d'être exceptionnel : en mai 2014, le FBI a publié les noms de 56 profils fictifs créés sur les réseaux sociaux dans le cadre d’un complot iranien visant à espionner des responsables gouvernementaux et le secteur de la défense ; un problème qui a également été traité dans un rapport de l'iSIGHT (maintenant FireEye). Dans le document fourni à une liste fermée de sociétés et d'entités gouvernementales, le FBI divulguait un réseau plus important que l’iSIGHT. Au moins seize de ses membres portaient des noms manifestement persans (tels que « Mehdi Rastegar ») – des identités qui ne seraient d’aucune utilité pour cibler l'industrie de la défense.

Évidemment, la campagne avait un autre objectif – ces mêmes comptes avaient été utilisés pour compromettre un Américain membre de la communauté bahá'íe – une minorité religieuse systématiquement persécutée par les autorités iraniennes. Les noms et autres indicateurs fournis par le FBI ont permis aux entreprises de savoir si elles avaient été ciblées par des acteurs iraniens sponsorisés par l'État. Une information qui peut pousser les cibles à améliorer leurs défenses. La communauté bahá'íe n'a jamais eu cette chance.

Seuls Google et Facebook signalent régulièrement à leurs utilisateurs les potentielles tentatives de piratage informatique, mais leurs notifications énigmatiques laissent beaucoup à désirer. Dans le cadre de notre travail avec les communautés à risque, nous avons constaté que les chercheurs en sécurité avertissaient rarement les victimes. Une fois de plus, le secteur privé est favorisé par rapport au public – il a considérablement plus de possibilités de se protéger que les individus, malgré des dommages potentiels encore plus grands.

Ni les gouvernements ni la communauté de cybersécurité n'ont pris l'initiative de protéger ces utilisateurs sensibles de manière satisfaisante. Si une dépendance forcée à l’égard des plateformes commerciales et des logiciels propriétaires n'est pas souhaitable, les avocats ont peu d'autres options pour se défendre contre le piratage soutenu par l'État. Des entreprises telles que Google et Facebook sont les mieux placées pour protéger les utilisateurs, car elles disposent des ressources et de l'infrastructure nécessaires, et qu'elles ont embauché des ingénieurs en sécurité pour surveiller et répondre aux menaces. Jusqu'à ce que l'idéal d'un Internet vraiment sûr et résilient soit atteint, ceux qui possèdent les ressources et l'expertise ont la responsabilité de mieux gérer la sécurité des utilisateurs. Les entreprises et les chercheurs doivent davantage impliquer la société civile et accorder plus de valeur à la protection de ces communautés, par le biais de quatre principes fondamentaux :

• Investir : Les entreprises de technologie et de sécurité doivent continuer à investir dans la protection des utilisateurs menacés par le piratage et les attaques des gouvernements et des groupes criminels. En dépit du fait que les options de protection des comptes et des appareils se sont améliorées au cours des dernières années, les entreprises importantes sont toujours à la traîne par rapport à leurs concurrents. Il ne devrait pas y avoir d'obstacle économique à la sécurité. Tous les militants ne peuvent pas s'offrir les derniers dispositifs de la Silicon Valley et se voient souvent refuser l'accès aux services américains en raison de sanctions économiques ou autres problèmes politiques.

• Engager : Les entreprises de technologie doivent maintenir des relations de collaboration avec les organisations et les groupes qui comprennent le contexte dans lequel elles évoluent. Les informations doivent être échangées avec ces communautés, dans la mesure où elles peuvent aider le public à mieux se prémunir contre le attaques. Les entreprises qui distribuent des produits de sécurité et de protection de l'information devraient envisager de fournir une aide volontaire ou des services à titre gracieux aux individus et organisations ciblés par des attaques.
• Notifier : Les personnes ciblées par les gouvernements devraient être averties par les plateformes et les chercheurs en sécurité lorsqu'elles sont attaquées. Lorsqu’une notification est envoyée, elle se limite généralement à un simple avertissement selon lequel « des pirates financés par un État ont ciblé leurs comptes ». Ce message ne fournit aucune information permettant à l'utilisateur de comprendre qui l'a ciblé et ne fournit aucune assistance supplémentaire.
• Remédier : Lorsque des entreprises ou des chercheurs en cybersécurité prennent connaissance d’attaques contre des communautés à risque, ils devraient agir rapidement pour contrer et mettre fin à ces menaces. Les chercheurs se posent souvent une question stratégique : faut-il déjouer une opération (au risque que les attaquants adaptent leurs techniques) ou continuer à observer passivement les attaques ? Nous sommes préoccupés par le fait que les dissidents victimes d'attaques pirates sont considérés comme des simples dommages collatéraux. Nous croyons que la position officielle de Google selon laquelle tous les malwares doivent être mis hors d'état de nuire, quelles que soient leur cible, est une position louable qui devrait être une norme industrielle.

Comme le démontre l'histoire des cyber-opérations au Moyen-Orient, en Chine et ailleurs, une attaque menée aujourd’hui contre un militant annonce celle qui sera menée demain contre une compagnie aérienne. Reste que les militants des droits de l'homme passent souvent à la trappe, sans accès aux informations essentielles à leur protection. Bien que des progrès aient été réalisés pour fournir davantage de ressources aux activistes, les efforts en ce sens restent contradictoires et inadéquats. La coopération en matière de cybersécurité et les tentatives de lutte contre l'insécurité devraient considérer les besoins des populations à risque comme une valeur fondamentale. Enfin, le débat portant sur les moyens de protéger l'intégrité et la sécurité des personnes sur Internet est l'un des plus essentiels de notre époque.