Incidents associés
Ce communiqué de presse est également disponible en serbe "Srbija: Vlasti koriste špijunske softvere i forenzičke alate kompanije Cellebrite za hakovanje novinara i aktivista".*
Nous avons publié le Résumé du rapport sous forme de page Web. Le rapport complet est disponible au format PDF sur Amnesty.org.
La police et les services de renseignement serbes utilisent des logiciels espions avancés pour téléphones mobiles ainsi que des produits d'analyse forensique pour téléphones portables afin de cibler illégalement des journalistes, des militants écologistes et d'autres personnes dans le cadre d'une campagne de surveillance secrète, révèle un nouveau rapport d'Amnesty International.
Le rapport, "Une prison numérique" : Surveillance et répression de la société civile en Serbie, documente la manière dont les produits d'analyse forensique mobiles fabriqués par la société israélienne Cellebrite sont utilisés pour extraire des données d'appareils mobiles appartenant à des journalistes et des militants. L'enquête révèle également comment la police serbe et l'Agence de sécurité et d'information (Bezbedonosno-informativna Agencija - BIA) ont utilisé un système d'espionnage Android sur mesure, NoviSpy, pour infecter discrètement les appareils des individus pendant les périodes de détention ou les interrogatoires de police.
« Notre enquête révèle comment les autorités serbes ont déployé des technologies de surveillance et des tactiques de répression numérique comme instruments de contrôle de l'État et de répression à grande échelle contre la société civile », a déclaré Dinushika Dissanayake, directrice adjointe de la région Europe d'Amnesty International.
« Elle met également en évidence comment les produits d'analyse forensique mobile de Cellebrite, largement utilisés par la police et les services de renseignement du monde entier, peuvent représenter un risque énorme pour ceux qui défendent les droits humains, l'environnement et la liberté d'expression, lorsqu'ils sont utilisés en dehors d'un contrôle et d'une surveillance juridiques stricts. »
Comment Cellebrite et NoviSpy sont utilisés pour cibler les appareils
Cellebrite, une entreprise fondée et basée en Israël mais avec des bureaux dans le monde entier, développe la suite de produits Cellebrite UFED pour les forces de l'ordre et les entités gouvernementales. Elle permet l'extraction de données à partir d'une large gamme d'appareils mobiles, y compris certains des appareils Android et modèles d'iPhone les plus récents, même sans accès au code d'accès de l'appareil.
Bien que moins avancé techniquement que les logiciels espions commerciaux hautement invasifs comme Pegasus, NoviSpy - un logiciel espion Android jusqu'alors inconnu - fournit néanmoins aux autorités serbes des capacités de surveillance étendues une fois installé sur l'appareil d'une cible.
NoviSpy peut capturer des données personnelles sensibles à partir d'un téléphone cible et fournir des capacités pour activer le microphone ou la caméra d'un téléphone à distance, tandis que les outils médico-légaux de Cellebrite sont utilisés à la fois pour déverrouiller le téléphone avant l'infection par un logiciel espion et également pour permettre l'extraction des données sur un appareil.
Amnesty International a découvert des preuves médico-légales montrant comment les autorités serbes ont utilisé les produits Cellebrite pour permettre l'infection des téléphones des militants par le logiciel espion NoviSpy. Dans au moins deux cas, les exploits UFED de Cellebrite (un logiciel qui exploite un bug ou une vulnérabilité) ont été utilisés pour contourner les mécanismes de sécurité des appareils Android, permettant aux autorités d'installer secrètement le logiciel espion NoviSpy lors des interrogatoires de police.
Amnesty International a également identifié comment les autorités serbes ont utilisé Cellebrite pour exploiter une vulnérabilité zero-day (une faille logicielle qui n'est pas connue du développeur du logiciel d'origine et pour laquelle il n'existe pas de correctif logiciel) dans les appareils Android afin d'obtenir un accès privilégié au téléphone d'un militant écologiste. La vulnérabilité, identifiée en collaboration avec des chercheurs en sécurité de Google Project Zero et du Threat Analysis Group, a affecté des millions d'appareils Android dans le monde qui utilisent les chipsets populaires de Qualcomm. Une mise à jour corrigeant le problème de sécurité a été publiée dans le Bulletin de sécurité Qualcomm d'octobre 2024.
Piratage téléphonique par Cellebrite et menaces d'infection par logiciel espion pour les journalistes et les militants
En février 2024, le journaliste d'investigation indépendant serbe Slaviša Milanov a été arrêté et détenu par la police sous prétexte d'avoir effectué un test de conduite sous l'influence de l'alcool. Pendant sa détention, Slaviša a été interrogé par des agents en civil sur son travail de journaliste. Le téléphone Android de Slaviša a été éteint lorsqu'il l'a remis à la police et à aucun moment on ne lui a demandé ni fourni le code d'accès.
Après sa libération, Slaviša a remarqué que son téléphone, qu'il avait laissé à la réception du commissariat de police pendant son interrogatoire, semblait avoir été trafiqué et que les données de son téléphone étaient désactivées.
Il a demandé au laboratoire de sécurité d'Amnesty International de procéder à une analyse médico-légale de son téléphone - un Xiaomi Redmi Note 10S. L'analyse a révélé que le produit UFED de Cellebrite avait été utilisé pour déverrouiller secrètement le téléphone de Slaviša pendant sa détention.
Des preuves médico-légales supplémentaires ont montré que NoviSpy avait ensuite été utilisé par les autorités serbes pour infecter le téléphone de Slaviša. Un deuxième cas dans le rapport, impliquant un militant écologiste, Nikola Ristić, a trouvé des preuves médico-légales similaires de produits Cellebrite utilisés pour déverrouiller un appareil afin de permettre une infection ultérieure par NoviSpy.
« Nos preuves médico-légales prouvent que le logiciel espion NoviSpy a été installé alors que la police serbe était en possession de l'appareil de Slaviša, et que l'infection dépendait de l'utilisation d'un outil avancé comme Cellebrite UFED capable de déverrouiller l'appareil. Amnesty International attribue le logiciel espion NoviSpy au BIA avec une grande confiance », a déclaré Donncha Ó Cearbhaill, responsable du laboratoire de sécurité d'Amnesty International.
Des militants infectés par NoviSpy alors qu'ils déposaient plainte auprès de la police ou du BIA
Cette tactique consistant à installer secrètement des logiciels espions sur les appareils des personnes pendant leur détention ou leurs interrogatoires semble avoir été largement utilisée par les autorités.
Dans un autre cas, le téléphone d'un militant de Krokodil, une organisation qui promeut le dialogue et la réconciliation dans les Balkans occidentaux, un Samsung Galaxy S24+, a été infecté par un logiciel espion lors d'un entretien avec des responsables de la BIA en octobre 2024.
Le militant a été invité au bureau de la BIA à Belgrade pour fournir des informations sur une attaque contre leurs bureaux par des russophones, apparemment en opposition à la condamnation publique par Krokodil de l'invasion de l'Ukraine par la Russie.
Après l'entretien, le militant a soupçonné que son téléphone avait été trafiqué. À sa demande, Amnesty International a mené une enquête médico-légale qui a révélé que NoviSpy avait été installé sur l'appareil pendant l'entretien avec la BIA. Amnesty International a également pu récupérer et décrypter les données de surveillance capturées par NoviSpy pendant que le militant utilisait son téléphone, qui comprenaient des captures d'écran de comptes de messagerie, de messages Signal et WhatsApp et d'activité sur les réseaux sociaux.
Amnesty International a signalé la campagne de logiciels espions NoviSpy aux chercheurs en sécurité d'Android et de Google avant la publication, qui ont pris des mesures pour supprimer le logiciel espion des appareils Android concernés. Google a également envoyé une série d'alertes « Attaque soutenue par le gouvernement » aux personnes qu'il a identifiées comme cibles potentielles de cette campagne.
Impact de la surveillance numérique et des tactiques de répression de l'État sur la société civile serbe
Les militants serbes ont été traumatisés par ce ciblage.
« C'est un moyen incroyablement efficace de décourager complètement la communication entre les gens. Tout ce que vous dites peut être utilisé contre vous, ce qui est paralysant à la fois sur le plan personnel et professionnel », a déclaré Branko*, un militant qui a été ciblé par le logiciel espion Pegasus.
Le ciblage a également donné lieu à une autocensure.
« Nous sommes tous dans une prison numérique, un goulag numérique. Nous avons une illusion de liberté, mais en réalité, nous n'avons aucune liberté du tout. Cela a deux effets : soit vous optez pour l'autocensure, ce qui affecte profondément votre capacité à travailler, soit vous choisissez de vous exprimer quoi qu'il en soit, auquel cas vous devez être prêt à faire face aux conséquences », a déclaré Goran*, un activiste également ciblé par le logiciel espion Pegasus.
L'activiste Aleksandar*, également ciblé par le logiciel espion Pegasus, a déclaré : « Ma vie privée a été envahie, et cela a complètement brisé mon sentiment de sécurité personnelle. Cela a provoqué une énorme anxiété... J'ai ressenti un sentiment de panique et je me suis retrouvé assez isolé. »
En réponse à ces conclusions, NSO Group, qui a développé Pegasus, n'a pas pu confirmer si la Serbie était son client, mais a déclaré que le groupe « prend au sérieux sa responsabilité de respecter les droits de l'homme et s'engage fermement à éviter de causer, de contribuer à ou d'être directement lié à des impacts négatifs sur les droits de l'homme, et à examiner minutieusement toutes les allégations crédibles d'utilisation abusive des produits NSO Group. »
En réponse à nos conclusions, Cellebrite a déclaré : « Nos solutions logicielles d'investigation numérique n'installent pas de logiciels malveillants et n'effectuent pas de surveillance en temps réel compatible avec les logiciels espions ou tout autre type d'activité cybernétique offensive.
« Nous apprécions qu'Amnesty International ait souligné l'utilisation abusive présumée de notre technologie. Nous prenons au sérieux toutes les allégations d'utilisation abusive potentielle de notre technologie par un client d'une manière qui irait à l'encontre des conditions explicites et implicites décrites dans notre contrat d'utilisateur final.
« Nous enquêtons sur les allégations formulées dans ce rapport. Si elles sont validées, nous sommes prêts à imposer des sanctions appropriées, y compris la résiliation de la relation de Cellebrite avec toute agence concernée. »
En réponse aux questions d'Amnesty International envoyées au début du processus de recherche, Cellebrite a déclaré que ses produits « sont sous licence strictement pour une utilisation légale, nécessitent un mandat ou un consentement pour aider les forces de l'ordre dans les enquêtes légalement autorisées après qu'un crime a eu lieu. »
Bien que cela puisse être l'usage prévu, les recherches d'Amnesty International démontrent comment les produits de Cellebrite peuvent être utilisés à mauvais escient pour permettre le déploiement de logiciels espions et la collecte à grande échelle de données à partir de téléphones portables en dehors d'enquêtes criminelles justifiées, ce qui présente de graves risques pour les droits humains.
Amnesty International a communiqué les conclusions de cette recherche au gouvernement serbe avant la publication, mais n'a pas reçu de réponse.
Les autorités serbes doivent cesser d'utiliser des logiciels espions hautement invasifs et fournir un recours effectif aux victimes de surveillance ciblée illégale et demander des comptes aux responsables de ces violations. Cellebrite et d'autres entreprises de criminalistique numérique doivent également faire preuve de diligence raisonnable pour s'assurer que leurs produits ne sont pas utilisés d'une manière qui contribue à des violations des droits humains.
Au cours des dernières années, la répression étatique et un environnement hostile aux défenseurs de la liberté d'expression en Serbie se sont intensifiés à chaque vague de manifestations antigouvernementales. Les autorités ont mené des campagnes de diffamation soutenues contre les ONG, les médias et les journalistes et ont également soumis les personnes impliquées dans des manifestations pacifiques à des arrestations et à un harcèlement judiciaire.
*Nom modifié pour protéger l'identité
Amnesty International a également publié le logiciel espion NoviSpy Indicators of Compromise pour permettre à la société civile serbe de vérifier leurs appareils à la recherche de preuves de ciblage par NoviSpy à l'aide de la Mobile Verification Toolkit.