Problème 4834

Ceci est le résumé du rapport d’Amnesty International sur la surveillance et la répression de la société civile en Serbie. Veuillez cliquer ici pour accéder au rapport complet au format PDF. Vous pouvez lire le résumé en serbe, français ou espagnol. En février 2024, Slaviša Milanov, un journaliste indépendant de Dimitrovgrad en Serbie qui couvre des sujets d’actualité locale, a été amené dans un commissariat de police après un contrôle routier apparemment de routine. Après sa libération, Slaviša a remarqué que son téléphone, qu’il avait laissé à la réception du commissariat à la demande des policiers, se comportait bizarrement : les paramètres de données et de wi-fi étaient désactivés. Conscient que cela peut être un signe de piratage informatique et conscient des menaces de surveillance auxquelles sont confrontés les journalistes en Serbie, Slaviša a contacté le laboratoire de sécurité d’Amnesty International pour demander une analyse de son téléphone. L’analyse d’Amnesty International a conduit à deux découvertes remarquables. Tout d’abord, des traces d’analyse ont révélé qu’un produit Cellebrite avait été utilisé pour déverrouiller son appareil. Cellebrite, dont l’outil d’analyse permet d’extraire toutes les données d’un appareil et qui est utilisé par les services de police du monde entier, affirme avoir des politiques strictes pour empêcher l’utilisation abusive de son produit. Pourtant, cette découverte fournit la preuve évidente que le téléphone d’un journaliste a été ciblé sans aucune forme de procédure régulière. Slaviša n’a pas été invité à fournir le code d’accès de son appareil Android, et il n’a pas non plus fourni de code d’accès. Les autorités ne lui ont pas dit qu’elles voulaient fouiller son appareil, et n’ont pas non plus déclaré de base légale pour une telle fouille. Slaviša ne sait toujours pas quelles données ont été récupérées sur son téléphone. La deuxième découverte de l’analyse est encore plus extraordinaire. Amnesty International a trouvé des traces d’une forme de logiciel espion jusque-là inconnue, qu’elle a baptisée « NoviSpy ». NoviSpy permet de récupérer des données personnelles sensibles sur le téléphone d’une cible après l’infection et offre la possibilité d’activer le microphone ou l’appareil photo du téléphone à distance. Des preuves médico-légales indiquent que le logiciel espion a été installé alors que la police serbe était en possession de l’appareil de Slaviša, et que l’infection dépendait de l’utilisation de Cellebrite pour déverrouiller l’appareil. Deux formes de technologies hautement invasives ont été utilisées conjointement pour cibler l’appareil d’un journaliste indépendant, laissant presque toute sa vie numérique ouverte aux autorités serbes. L’histoire ne s’arrête pas avec Slaviša. Des recherches plus poussées menées par Amnesty International ont dévoilé l’ampleur de la surveillance numérique en Serbie, notamment le déploiement d’au moins trois formes différentes de logiciels espions, ainsi que l’utilisation abusive persistante de la technologie médico-légale numérique hautement sophistiquée de Cellebrite. Ce rapport est une étude de cas sur la manière dont les autorités serbes ont déployé des technologies de surveillance et des tactiques de répression numérique comme instruments d’un contrôle étatique plus large et d’une répression dirigée contre la société civile. La Serbie est un cas paradigmatique d’un système dans lequel de tels outils peuvent devenir des outils essentiels d’une répression numérique, susceptible de se reproduire dans d’autres pays et contextes, ce qui est peut-être déjà le cas. Ce rapport est publié à un moment où la répression étatique s’intensifie et dans un environnement de plus en plus hostile à la liberté d’expression et au débat ouvert dans le pays. La Serbie a connu plusieurs vagues majeures de manifestations antigouvernementales depuis 2021, chacune déclenchant une réponse de plus en plus dure de la part des autorités – des campagnes de diffamation soutenues et vicieuses contre des organisations non gouvernementales (ONG), des médias et des journalistes critiques au harcèlement judiciaire persistant des citoyens qui s’organisent pacifiquement et s’engagent dans la dissidence politique. Dans ce rapport, Amnesty International combine de nombreux entretiens avec des représentants de la société civile en Serbie et des recherches informatiques très techniques pour exposer les pratiques concrètes de surveillance des autorités serbes. En révélant ces tactiques, le rapport vise à renforcer les efforts de la société civile pour garantir la responsabilité des surveillances illégales, tout en dépouillant les couches de secret et en réduisant l'asymétrie de l'information. L'opacité de la surveillance numérique et une perception d'omnipotence et d'impunité peuvent inciter et encourager un appareil d'État répressif à s'engager dans ces pratiques, avec un effet dévastateur sur la santé d'une société dans son ensemble. Les conclusions du rapport révèlent l'utilisation généralisée et routinière par la Serbie de logiciels espions invasifs, notamment le logiciel espion Pegasus de NSO Group, ainsi qu'un nouveau système d'espionnage Android NoviSpy de fabrication nationale, révélé pour la première fois dans ce rapport. L'Agence serbe d'information sur la sécurité, connue en Serbie sous le nom de BIA (Bezbedonosno-informativna Agencija) et la police serbe ont utilisé le logiciel espion NoviSpy ainsi que les outils d'analyse mobile de Cellebrite pour cibler les activistes de groupes de réflexion indépendants, les manifestants pacifiques et les journalistes indépendants. Ces outils permettent à l’État de recueillir des données de manière très discrète, comme dans le cas des logiciels espions, ou ouvertement, par l’utilisation illégale et illégitime de la technologie d’extraction de données de téléphones portables Cellebrite. Les autorités serbes ont systématiquement utilisé ces outils contre des manifestants pacifiques qui sont déjà trop souvent victimes d’une criminalisation injustifiée en raison de leur militantisme. Cette surveillance numérique et cette collecte de données illégales dirigées contre la société civile violent le droit des personnes à la vie privée et à la protection des données personnelles, et affectent profondément leurs autres droits et libertés, notamment les droits à la liberté d’expression, d’association et de réunion pacifique. Les conclusions de ce rapport s’appuient sur des entretiens approfondis avec 13 personnes directement ciblées par des logiciels espions ou des produits d’extraction de données mobiles, ou d’autres formes de surveillance numérique, et avec 28 représentants de la société civile de toute la Serbie, qui ont fourni un aperçu précieux de l’environnement de plus en plus difficile dans lequel ils opèrent. Leurs témoignages sont corroborés par une analyse détaillée des appareils mobiles de deux douzaines de militants et de journalistes, réalisée par le laboratoire de sécurité d’Amnesty International. Français Le Security Lab a utilisé des outils d'investigation numérique développés par Amnesty International, notamment le Mobile Verification Toolkit (MVT) open source et AndroidQF pour recueillir et analyser des preuves médico-légales pour ce rapport. Les menaces de logiciels espions auxquelles la société civile serbe est confrontée -------------------------------------------- Le rapport détaille l'historique de l'utilisation ou de l'acquisition de logiciels espions hautement invasifs, y compris des systèmes de Finfisher, NSO Group et Intellexa, par les autorités serbes au cours de la dernière décennie. Fait important, la recherche montre qu'au moins trois militants et un journaliste indépendant ont fait installer secrètement le logiciel espion NoviSpy sur leurs appareils pendant qu'ils participaient à des entretiens d'information avec la police serbe ou la BIA. Les infections se sont produites alors que les téléphones étaient temporairement confisqués à leurs propriétaires et apparemment déposés dans des casiers dans les commissariats de police. Cette tactique exceptionnellement trompeuse, c'est-à-dire l'installation secrète de logiciels espions sur les appareils des personnes pendant des entretiens d'information, semble avoir été largement utilisée. Des preuves techniques suggèrent que des dizaines, voire des centaines, d'appareils uniques ont été ciblés par le logiciel espion NoviSpy au cours des dernières années. L’ampleur du ciblage va probablement au-delà du ciblage illégal de la société civile. En octobre 2024, un militant de l’ONG Krokodil, basée à Belgrade, a été invité au bureau de la BIA pour fournir des informations sur un incident impliquant une attaque contre son organisation. Pendant qu’ils assistaient à la réunion, leur téléphone a été laissé sans surveillance à l’extérieur de la salle d’entretien. Une analyse médico-légale ultérieure menée par le laboratoire de sécurité d’Amnesty International a révélé des preuves que le logiciel espion Android NoviSpy avait été installé pendant cette période. Bien que moins avancé techniquement que les logiciels espions commerciaux comme Pegasus, le logiciel espion Android NoviSpy fournit toujours aux autorités serbes des capacités de surveillance étendues une fois installé sur l’appareil de la cible. Outre Slaviša et le militant de Krokodil, Amnesty International a trouvé des preuves d’installation ou de tentative d’installation du logiciel espion NoviSpy dans au moins deux autres cas impliquant des militants de la société civile serbe. Le logiciel espion NoviSpy se connecte au BIA ------------------------------------ Une analyse de plusieurs échantillons d'applications espionnes NoviSpy récupérés sur des appareils infectés a révélé que toutes communiquaient avec des serveurs hébergés en Serbie, à la fois pour récupérer des commandes et surveiller des données. Notamment, l'un de ces échantillons de logiciels espions était configuré pour se connecter directement à une plage d'adresses IP associée directement au BIA serbe. L'étude a également révélé que les données de configuration intégrées dans l'échantillon de logiciel espion reliaient un employé spécifique du BIA, qui était auparavant lié aux efforts de la Serbie pour se procurer un logiciel espion Android auprès du fournisseur de logiciels espions aujourd'hui disparu, Hacking Team. Ces importantes erreurs de sécurité opérationnelle, et le fait que le logiciel espion ait été installé dans plusieurs cas lors d'entretiens avec des agents du BIA, permettent à Amnesty International d'attribuer avec une grande confiance ces campagnes de logiciels espions au BIA et aux autorités serbes. Français En réponse à ces conclusions, NSO Group, qui a développé Pegasus, n'a pas pu confirmer si la Serbie était son client mais a déclaré que le Groupe « prend au sérieux sa responsabilité de respecter les droits de l'homme et s'engage fermement à éviter de causer, de contribuer ou d'être directement lié à des impacts négatifs sur les droits de l'homme, et examine minutieusement toutes les allégations crédibles d'utilisation abusive des produits du Groupe NSO ». Utilisation abusive des outils d'investigation numérique de Cellebrite ------------------------------------------- Ce rapport révèle également l'utilisation extensive et illégitime de la technologie d'extraction de Cellebrite pour télécharger des données personnelles à partir des téléphones des organisateurs de manifestations et des journalistes. Les données obtenues grâce à l'utilisation de ces outils peuvent permettre aux autorités de cartographier les réseaux sociaux des mouvements de protestation, de collecter des conversations cryptées à partir d'applications comme Signal et Telegram, et d'exploiter les données stockées dans le cloud. La capacité de télécharger, en effet, l'intégralité de la vie numérique d'un individu à l'aide de Cellebrite UFED et d'outils d'investigation mobile similaires, présente d'énormes risques pour les droits de l'homme, si ces outils ne sont pas soumis à un contrôle et une surveillance stricts. En Serbie, les contrôles juridiques sur l’utilisation de tels outils sont insuffisants et l’utilisation par la Serbie des produits d’analyse forensique de Cellebrite présente de graves risques pour les droits humains. Dans au moins deux cas recensés par Amnesty International, le produit Cellebrite UFED et les failles associées ont été utilisés pour contourner discrètement les fonctions de sécurité des téléphones, permettant aux autorités serbes d’infecter les appareils avec le logiciel espion NoviSpy. Ces infections secrètes, qui se sont également produites lors d’interrogatoires avec la police ou le BIA, n’ont été possibles que grâce aux capacités offertes par une technologie avancée comme Cellebrite UFED pour contourner le chiffrement des appareils. Alors que les militants expriment depuis longtemps leurs inquiétudes quant aux infections par logiciel espion survenant lors des interrogatoires avec la police, Amnesty International estime que ce rapport décrit les premières infections par logiciel espion documentées par des experts en criminalistique, rendues possibles par l’utilisation de la technologie d’analyse forensique mobile de Cellebrite. Ces recherches ont également mis au jour une faille d’escalade de privilèges Android zero-day utilisée dans Cellebrite UFED, corrigée au cours de ces recherches, contribuant à protéger des millions d’appareils Android. En collaboration avec des chercheurs en sécurité de Google, Amnesty International a identifié l'exploit à partir de l'analyse minutieuse des journaux d'analyse judiciaire trouvés sur le téléphone d'un organisateur de manifestations détenu par les autorités serbes. Répression de l'espace civique en Serbie ---------------------------------- La surveillance numérique en Serbie se déroule dans un contexte de répression étatique croissante et de détérioration du climat de la liberté d'expression. Depuis 2021, le pays a connu de nombreuses manifestations antigouvernementales, chacune se heurtant à une répression plus sévère de la part des autorités. Après les manifestations de masse à l'échelle nationale en juillet et août 2024 contre l'extraction du lithium et l'accord de la Serbie avec l'Union européenne (UE) sur l'accès aux matières premières, l'assaut du gouvernement contre la société civile s'est considérablement intensifié. En août, un média pro-gouvernemental très suivi, TV Informer, a présenté de nombreux reportages suggérant qu'une quarantaine d'ONG « financées par l'étranger » « menaient une guerre spéciale contre la Serbie » à la demande de donateurs étrangers, les décrivant comme des « mercenaires étrangers ». Les déclarations diffamatoires à l’encontre de ces organisations ont été alimentées par de hauts responsables, dont le président, des membres du Parlement et le gouverneur de la Banque nationale. Dans le même temps, les militants qui participaient aux manifestations anti-lithium ou en parlaient ont été arrêtés et accusés de crimes sans fondement, mais extrêmement graves, notamment d’« incitation au renversement violent de l’ordre constitutionnel », un délit passible d’une peine d’emprisonnement pouvant aller jusqu’à huit ans. Les militants et les avocats interrogés pour le rapport ont raconté que la police citait fréquemment les publications des militants sur les réseaux sociaux, leurs discours ou leur simple participation aux manifestations comme base de ces accusations. Selon Civic Initiatives, au moins 33 personnes ont été arrêtées ou détenues pour des entretiens d’information pendant la manifestation d’août, soumises à de longs interrogatoires, à des perquisitions dans leurs appartements et à la saisie et à la fouille de leurs téléphones et ordinateurs. Aucune d’entre elles n’a été formellement inculpée au moment de la publication de ce rapport. Amnesty International s’est entretenue avec neuf militants qui ont été arrêtés ou interrogés entre juillet et novembre 2024 et dont les téléphones et les ordinateurs ont été temporairement saisis par la police et soumis à des fouilles approfondies, notamment à l’extraction de données numériques afin de permettre aux procureurs de décider d’inculper formellement ou non les personnes concernées. Cependant, les militants soupçonnent que ces mesures d’enquête intrusives, qui semblent légales au regard de la législation serbe, étaient un prétexte pour que la police et les services de sécurité en apprennent davantage sur leurs réseaux sociaux et leurs projets d’avenir, plutôt que d’engager des poursuites pénales. Le cadre juridique et de surveillance inadéquat de la Serbie en matière de surveillance numérique -------------------------------------------------------------------------- La législation serbe prévoit le recours à des mesures exceptionnelles, notamment la surveillance des communications secrètes, et définit les circonstances spécifiques dans lesquelles de telles mesures pourraient être utilisées en toute légalité. Cependant, le déploiement de technologies avancées, notamment les logiciels espions et autres outils de criminalistique numérique avancés qui collectent de vastes quantités de données personnelles, n’est pas pleinement reconnu ou suffisamment réglementé par la loi, ce qui laisse trop de place à d’éventuels abus de ces techniques, y compris à des fins politiques. Français Les dispositions génériques régissant l'application de mesures spéciales dans plusieurs lois différentes ne sont pas suffisamment claires et n'offrent pas de garanties significatives contre les abus en ce qui concerne les technologies de surveillance numérique, qui sont beaucoup plus intrusives et moins ciblées que les moyens conventionnels de surveillance des communications secrètes, tels que les écoutes téléphoniques. Même le mécanisme de contrôle judiciaire ex ante, comme une décision judiciaire qui précise les mesures, la durée stricte et la cible d'une surveillance, ne peut pas offrir une protection efficace contre les outils de surveillance numérique avancés, y compris les logiciels espions, qui peuvent obtenir un accès complet et incontrôlé aux données, messages, images, fichiers et métadonnées de l'appareil d'une personne. De plus, dans le contexte des préoccupations souvent évoquées concernant l'influence politique indue du gouvernement sur les tribunaux et les procureurs et le degré de capture de l'État en Serbie, les moyens de contrôle et de surveillance de l'utilisation de mesures spéciales, qui peuvent sembler suffisants sur le papier, sont dénués de sens ou inefficaces dans la pratique. Effet dissuasif --------------- La surveillance numérique n'a pas seulement un impact dévastateur sur le droit des personnes à la vie privée, mais affecte également profondément les droits à la liberté d'expression, d'association et de réunion pacifique. Des militants serbes ont expliqué à Amnesty International que le fait d’apprendre qu’ils étaient pris pour cible les avait poussés à se sentir violés, vulnérables et seuls, et les avait obligés à reconsidérer ou à modifier leur comportement. Certains sont devenus plus réticents à s’exprimer sur des sujets controversés, tandis que d’autres ont décidé de se faire discrets ou de se retirer complètement du militantisme. Après avoir appris qu’il était pris pour cible, Slaviša s’est inquiété du fait que certaines de ses sources aient pu être compromises et a dû modifier sa façon de rechercher ses articles et de communiquer avec ses sources : « Je ne peux plus utiliser le téléphone ou le courrier électronique et je dois trouver d’autres moyens de parler aux gens, y compris en personne. J’ai tendance à le faire uniquement lorsque nous sommes dans des lieux publics et en grands groupes, ce qui n’est évidemment pas idéal. » « Goran » est l’un des autres militants ciblés par Pegasus et interrogés par Amnesty International. Pour lui, cette attaque a suscité une grande introspection quant à son travail futur. « Cela m’a amené à remettre en question mon engagement au sein de l’organisation. Je me suis demandé si je devais continuer à travailler et quel effet cela aurait sur l’organisation. J’ai envisagé de démissionner. Une attaque comme celle-ci met vraiment à mal l’intégrité personnelle et l’attitude envers le travail, et vous amène à vous demander si vous êtes prêt à continuer à faire ce que vous faites malgré tout. Je me suis posé des centaines de questions. » « Goran » est resté au sein de l’organisation, mais a dû mettre en place de nombreuses mesures de sécurité, tant dans sa vie personnelle que dans son organisation. « Si le gouvernement peut faire ce qu’il m’a fait, il peut ensuite s’en prendre à quelqu’un d’autre. J’ai réalisé que les activités de toutes les organisations de la société civile sont constamment surveillées par les autorités et que nous devons rester vigilants. » Pour les organisations déjà confrontées à de nombreuses pressions, devoir faire face à des problèmes de sécurité numérique est une distraction de plus par rapport à leur travail principal, a déclaré un militant de Krokodil à Amnesty International. « Devoir faire face à autant d’attaques différentes en même temps nous occupe énormément et nous affaiblit tellement fondamentalement, au point que nous ne pourrons plus du tout fonctionner… C’est probablement le but recherché. » Français Le gouvernement serbe n'a pas commenté les conclusions du rapport, dont les détails lui ont été communiqués avant la publication. Responsabilités des entreprises et autres parties en matière de droits humains ------------------------------------------------------------ Si les États ont le devoir premier de faire respecter le droit relatif aux droits humains, les entreprises et autres parties ont la responsabilité de respecter les droits humains partout où elles opèrent dans le monde et dans toutes leurs activités commerciales. Un élément clé pour s'acquitter de cette responsabilité est la mise en œuvre adéquate de la diligence raisonnable en matière de droits humains afin d'identifier, de prévenir et d'atténuer les risques potentiels pour les droits humains auxquels les entreprises pourraient contribuer. Amnesty International a constaté qu'un certain nombre d'entreprises n'ont pas rempli leurs responsabilités en matière de droits humains en Serbie. En outre, le ministère norvégien des Affaires étrangères, qui a fait don de la technologie UFED de Cellebrite, et le Bureau des Nations unies pour les services d'appui aux projets (UNOPS), qui a géré l'approvisionnement pour la subvention du gouvernement norvégien au ministère serbe de l'Intérieur, n'ont pas mené de processus de diligence raisonnable adéquat pour évaluer et atténuer les risques potentiels de cette technologie pour les droits humains ou fournir des garanties contre ses abus. Compte tenu de la faiblesse de la réglementation en matière de surveillance numérique en Serbie, des inquiétudes concernant l’indépendance du pouvoir judiciaire et des rapports persistants de menaces contre la société civile et les journalistes indépendants, le gouvernement norvégien et l’UNOPS avaient la responsabilité d’exercer une surveillance et une diligence raisonnable lors de l’acquisition de technologies hautement invasives et de leur remise aux institutions serbes. En ne le faisant pas, ils ont permis et contribué aux violations par la Serbie des droits à la vie privée, à la liberté d’expression, d’association et de réunion pacifique par le biais d’une surveillance numérique illégale. En réponse aux détails des conclusions, le ministère norvégien des Affaires étrangères a déclaré qu’il trouvait « alarmant que des outils de criminalistique numérique, achetés dans le cadre d’un projet financé par la Norvège, aient pu être utilisés à mauvais escient par des membres de la société civile en Serbie », et a ajouté que, « si cela était vrai, [cela] constituerait une violation flagrante des principes fondamentaux de l’aide au développement norvégienne et de l’objectif convenu du soutien aux autorités serbes à l’époque ». Le ministère a ajouté que l’UNOPS, qui était responsable de toutes les activités du projet, devrait mener une enquête approfondie sur l’utilisation abusive présumée. Il est tout aussi important que Cellebrite ait la responsabilité de faire preuve de diligence raisonnable en matière de droits humains pour s’assurer que son produit ne cause pas ou ne contribue pas à des impacts négatifs sur les droits humains. Sur son site Web, Cellebrite déclare que l’entreprise « prendra toutes les mesures nécessaires pour interdire aux mauvais acteurs d’utiliser ou d’accéder » à ses solutions lorsque la technologie Cellebrite est « utilisée d’une manière qui n’est pas conforme au droit international, qui n’est pas conforme aux conditions d’utilisation de Cellebrite ou qui n’est pas alignée sur les valeurs d’entreprise de Cellebrite ». Pourtant, toutes les informations disponibles à ce jour indiquent que Cellebrite n’a pas pris de mesures suffisantes et efficaces pour utiliser son influence afin de répondre aux risques pour les droits humains en Serbie. Comme le démontrent les recherches d’Amnesty International en Serbie, l’utilisation du produit de Cellebrite a eu un impact négatif sur les droits humains des militants et des journalistes serbes. À tout le moins, Cellebrite est directement liée à ces violations des droits humains. Cellebrite n’a pas assumé sa responsabilité d’entreprise en vertu des Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme pour atténuer et prévenir les préjudices potentiels et réels causés aux défenseurs des droits humains et, par conséquent, des politiques et procédures de diligence raisonnable en matière de droits humains plus efficaces sont nécessaires. Dans les situations où une entreprise a contribué à des impacts réels, elle doit également fournir des recours aux personnes concernées. En réponse aux questions d'Amnesty International envoyées à Cellebrite au cours du processus de recherche, comme expliqué plus en détail dans le rapport complet, Cellebrite a envoyé une courte réponse indiquant qu'elle n'était pas une société de surveillance et ne fournissait pas de technologie de cybersurveillance ou de logiciel espion. Elle a noté que le produit de l'entreprise était une « plateforme d'investigation numérique [qui] équipe les forces de l'ordre de la technologie nécessaire pour protéger et sauver des vies, accélérer la justice et préserver la confidentialité des données », et que leurs produits « sont sous licence strictement pour une utilisation légale, nécessitent un mandat ou un consentement pour aider les forces de l'ordre dans les enquêtes légalement autorisées après qu'un crime a eu lieu ». Avant la publication, Amnesty International a partagé les conclusions de ce rapport avec Cellebrite. En réponse, Cellebrite a déclaré : « Nos solutions logicielles d'investigation numérique n'installent pas de logiciels malveillants et n'effectuent pas de surveillance en temps réel compatible avec les logiciels espions ou tout autre type d'activité cybernétique offensive. « Nous apprécions qu'Amnesty International ait souligné l'utilisation abusive présumée de notre technologie. Nous prenons au sérieux toutes les allégations d'utilisation abusive potentielle de notre technologie par un client d'une manière qui irait à l'encontre des conditions explicites et implicites décrites dans notre contrat d'utilisateur final. « Nous enquêtons sur les allégations formulées dans ce rapport. Si elles sont validées, nous sommes prêts à imposer des sanctions appropriées, y compris la résiliation de la relation de Cellebrite avec toute agence concernée. » Une analyse complète des responsabilités de l'entreprise en matière de droits de l'homme est disponible dans le rapport complet et les deux réponses de l'entreprise sont disponibles en annexe du rapport. Conclusion et recommandations ------------------------------ Les conclusions de ce rapport sont emblématiques de la manière dont un appareil d'État répressif peut combiner des pratiques de surveillance disparates pour atteindre ses objectifs. Le rapport met également en évidence les nouvelles tactiques de surveillance, notamment l'utilisation généralisée d'outils de criminalistique numérique invasifs pour collecter des données auprès de manifestants pacifiques non inculpés d'aucun crime. Les améliorations de la sécurité rendant les attaques de type zero-click et autres attaques de logiciels espions à distance prohibitives ou irréalisables, les autorités peuvent de plus en plus se tourner vers l'infection des appareils par des logiciels espions via l'accès physique à un appareil. En effet, certains États ont proposé une législation spécifique pour autoriser les intrusions clandestines dans les habitations afin d’infecter les appareils avec des logiciels espions ciblés. La Serbie doit s’engager à cesser immédiatement d’utiliser des logiciels espions hautement invasifs et à mener des enquêtes rapides, indépendantes et impartiales sur tous les cas documentés et signalés de surveillance numérique illégale. Elle doit également prendre des mesures concrètes pour garantir que les technologies numériques ne soient pas utilisées à mauvais escient pour violer les droits de l’homme, notamment en mettant en place et en appliquant rigoureusement un cadre juridique qui offre des garanties procédurales significatives, des systèmes efficaces de contrôle et de surveillance par le biais d’un contrôle judiciaire et des mécanismes efficaces de réparation pour les victimes. Cellebrite et d’autres sociétés de criminalistique numérique qui conçoivent et fournissent aux forces de l’ordre et aux agences de sécurité des technologies hautement intrusives doivent faire preuve de diligence raisonnable significative et approfondie pour s’assurer que leurs produits ne sont pas utilisés d’une manière qui contribue à des violations des droits de l’homme. En particulier, Cellebrite devrait enquêter sur la manière dont sa technologie a été utilisée en Serbie afin d'évaluer les éventuels impacts négatifs sur les droits humains et respecter son engagement de « prendre toutes les mesures nécessaires », y compris de ne pas renouveler les licences de Cellebrite, pour interdire aux mauvais acteurs d'utiliser ou d'accéder à leurs solutions d'une manière incompatible avec le droit international. Voir la liste complète des recommandations à la fin du rapport complet.