Incidents associés
La police et les services de renseignement serbes utilisent des logiciels espions avancés pour appareils mobiles ainsi que des outils d'analyse mobile pour cibler illégalement des journalistes, des militants écologistes et d'autres personnes dans le cadre d'une campagne de surveillance secrète, révèle un nouveau rapport d'Amnesty International.
Le rapport, intitulé « Prison numérique : surveillance et répression de la société civile en Serbie », décrit comment les produits d'analyse de données mobiles de la société israélienne Cellebrite sont utilisés pour extraire des données des appareils mobiles de journalistes et d'activistes. Le rapport révèle que la police serbe et l'Agence de sécurité et d'information (BIA) ont utilisé un système d'espionnage personnalisé NoviSpy pour les appareils Android afin d'infecter discrètement les appareils lors de gardes à vue ou d'interrogatoires par la police.
« Notre enquête montre comment les autorités serbes ont utilisé les technologies de surveillance et les tactiques de répression numérique comme outils de contrôle et de répression à plus grande échelle contre la société civile », a déclaré Dinushika Dissanayake, directrice adjointe de la région Europe d’Amnesty International.
« Le rapport souligne également comment les produits d'analyse mobile de Cellebrite, largement utilisés par la police et les agences de renseignement du monde entier, peuvent représenter un risque énorme pour ceux qui défendent les droits de l'homme, la protection de l'environnement et la liberté d'expression, en particulier lorsqu'ils sont utilisés sans contrôles et surveillance juridiques stricts. »
Comment Cellebrite et NoviSpy sont utilisés pour cibler les appareils
Fondée et basée en Israël et avec des bureaux dans le monde entier, Cellebrite est une société qui développe la suite de produits Cellebrite UFED pour les forces de l'ordre et les institutions gouvernementales. Ces outils permettent d’extraire des données à partir d’une large gamme d’appareils mobiles, y compris les derniers modèles Android et iPhone, même sans accès au code de déverrouillage.
Bien que moins avancé techniquement que les logiciels espions commerciaux hautement invasifs tels que Pegasus, NoviSpy - un logiciel espion jusqu'alors inconnu pour les appareils Android - offre néanmoins aux autorités serbes des capacités de surveillance étendues une fois installé sur un appareil ciblé.
NoviSpy permet de collecter des données personnelles sensibles à partir d'un téléphone cible, ainsi que d'activer à distance le microphone ou la caméra du téléphone, tandis que les outils médico-légaux de Cellebrite sont utilisés à la fois pour déverrouiller le téléphone avant d'installer un logiciel espion et pour extraire des données de l'appareil.
Amnesty International a découvert des preuves médico-légales montrant comment les autorités serbes ont utilisé les produits Cellebrite pour permettre l'infection des téléphones des militants avec le logiciel espion NoviSpy. Dans au moins deux cas, l'exploit Cellebrite UFED a été utilisé pour contourner les mécanismes de sécurité des appareils Android, permettant aux autorités d'installer secrètement le logiciel espion NoviSpy lors des interrogatoires de police. Amnesty International a également révélé que les autorités serbes ont utilisé Cellebrite pour exploiter un bug « zero-day » (un bug logiciel inconnu des développeurs du logiciel et pour lequel aucun correctif n'est disponible) sur des appareils Android afin d'obtenir un accès privilégié au téléphone du militant écologiste. La vulnérabilité, découverte en collaboration avec les chercheurs en sécurité de Google travaillant sur Project Zero et Threat Analysis, a affecté des millions d'appareils Android dans le monde entier utilisant des chipsets Qualcomm populaires, et une mise à jour pour corriger le problème de sécurité a été publiée dans le bulletin de sécurité Qualcomm d'octobre 2024.
Le piratage téléphonique et l'infection par un logiciel espion de Cellebrite menacent les journalistes et les militants
En février 2024, le journaliste d’investigation indépendant serbe Slaviša Milanov a été arrêté et détenu par la police sous prétexte d’un test d’alcoolémie. Lors de sa détention, Slaviša a été interrogé par des policiers en civil sur son travail journalistique. Son téléphone Android était éteint lorsqu'il l'a remis à la police, et à aucun moment on ne lui a demandé ni fourni le code de déverrouillage.
Après sa libération, Slaviša a remarqué que son téléphone, qu'il avait laissé à l'accueil du commissariat de police pendant l'interrogatoire, avait été compromis et que les données du téléphone avaient été désactivées.
Il a demandé au laboratoire de sécurité d'Amnesty International de procéder à une analyse médico-légale du téléphone - un Xiaomi Redmi Note 10S. L'analyse a montré que le produit Cellebrite UFED a été utilisé pour déverrouiller secrètement le téléphone de Slavisa pendant sa détention.
Des preuves médico-légales supplémentaires ont montré que les autorités serbes ont ensuite utilisé NoviSpy pour infecter le téléphone de Slavisa. Dans un autre cas cité dans le rapport, impliquant l'activiste environnemental Nikola Ristic, des preuves médico-légales similaires ont été trouvées concernant l'utilisation de produits Cellebrite pour déverrouiller des appareils afin de permettre une infection ultérieure par le logiciel espion NoviSpy.
« Nos preuves médico-légales confirment que le logiciel espion NoviSpy a été installé alors que la police serbe détenait l'appareil de Slavisa, et qu'un outil moderne tel que Cellebrite UFED, capable de déverrouiller l'appareil, a été utilisé pour l'infecter. » « C'est avec un haut degré de certitude qu'Amnesty International attribue le logiciel espion NoviSpy au BIA », a déclaré Donncha Ó Cearbhaill, responsable du laboratoire de sécurité d'Amnesty International.
Des militants infectés par le logiciel espion NoviSpy alors qu'ils déposaient plainte auprès de la police
Cette tactique consistant à installer secrètement des logiciels espions sur les appareils des individus lors d’une détention ou d’un interrogatoire semble être très répandue.
Dans un autre cas, le téléphone Samsung Galaxy S24+ d'un militant de l'organisation Krokodil, qui promeut le dialogue et la réconciliation dans les Balkans occidentaux, a été infecté par un logiciel espion lors d'une conversation avec des agents du BIA en octobre 2024.
L'activiste a été convoqué au bureau du BIA à Belgrade pour fournir des informations sur une attaque contre leurs locaux par des individus russophones, apparemment en réponse à la condamnation publique par Krokodil de l'invasion de l'Ukraine par la Russie.
Après la conversation, l’activiste a soupçonné que son téléphone avait été compromis. À sa demande, Amnesty International a mené une enquête médico-légale qui a montré que NoviSpy avait été installé sur l'appareil pendant la conversation avec le BIA. Amnesty International a également pu récupérer et décrypter les données que NoviSpy avait collectées pendant que le militant utilisait son téléphone, notamment des captures d’écran de comptes de messagerie, de messages de Signal et de WhatsApp, ainsi que d’activités sur les réseaux sociaux.
Amnesty International a signalé l'utilisation du logiciel espion NoviSpy aux chercheurs en sécurité Android et à Google avant la publication du rapport, afin qu'ils puissent prendre des mesures pour le supprimer des appareils Android concernés. Google a également envoyé des notifications concernant des « attaques sponsorisées par le gouvernement » aux personnes identifiées comme cibles potentielles de cette campagne.
L’impact des tactiques de surveillance et de répression de l’État numérique sur la société civile serbe
Les militants en Serbie sont traumatisés par le fait d’avoir été pris pour cible.
« C’est un moyen incroyablement efficace de décourager complètement la communication entre les gens. » « Tout ce que vous dites peut être utilisé contre vous, ce qui est paralysant tant sur le plan personnel que professionnel », a déclaré Branko*, un activiste ciblé par le logiciel espion Pegasus.
L’autocensure est également l’une des conséquences du ciblage.
« Nous sommes tous dans une sorte de prison numérique, un goulag numérique. Nous avons l'illusion de la liberté, mais en réalité nous n'en avons aucune. Vous avez deux options : soit vous choisissez l'autocensure, ce qui affecte profondément votre capacité à travailler, soit vous vous manifestez quoi qu'il arrive ; dans ce cas, vous devez être prêt à en assumer les conséquences », explique Goran*, un militant visé par le logiciel espion Pegasus.
L'activiste Aleksandar*, également ciblé par le logiciel espion Pegasus, a déclaré : « Ma vie privée a été violée et cela a complètement détruit mon sentiment de sécurité personnelle. Cela a provoqué une énorme anxiété... J'ai paniqué et je suis devenu très isolé.
En réponse à ces conclusions, NSO Group, qui a développé Pegasus, n'a pas pu confirmer si la Serbie était son client, mais a déclaré qu'il « prenait au sérieux sa responsabilité de respecter les droits de l'homme et s'engageait fermement à éviter de causer, de contribuer ou d'être directement associé à des impacts négatifs sur les droits de l'homme, et à examiner minutieusement toutes les allégations crédibles d'utilisation abusive des produits du groupe NSO ».
En réponse à nos conclusions, Cellebrite a déclaré : « Nos solutions logicielles numériques n'installent pas de logiciels espions et n'effectuent pas de surveillance en temps réel comme les logiciels espions ou tout autre type d'activité cybernétique invasive. »
« Nous apprécions qu’Amnesty International mette en lumière l’utilisation abusive présumée de notre technologie. » « Nous prenons au sérieux toutes les allégations d'utilisation abusive potentielle de notre technologie par les utilisateurs d'une manière qui violerait les conditions explicites et implicites énoncées dans notre contrat d'utilisateur final. »
« Nous enquêtons sur les allégations formulées dans ce rapport. » « Si cela est confirmé, nous sommes prêts à imposer des sanctions appropriées, y compris la rupture des liens de Cellebrit avec toutes les agences concernées. »
En réponse à une question envoyée plus tôt par Amnesty International lors des recherches pour le rapport,
Cellebrite a déclaré que son produit est « une plate-forme de criminalistique numérique qui équipe les forces de l'ordre de la technologie nécessaire pour protéger et sauver des vies, accélérer la justice et protéger la confidentialité des données ».
Ils ont également déclaré que leurs produits sont « autorisés uniquement pour une utilisation légale, nécessitant un mandat ou un consentement pour aider les forces de l'ordre dans des enquêtes légales après qu'un crime a été commis ».
Bien que cela puisse être une utilisation prévue, nos recherches montrent comment les produits Cellebrite peuvent être utilisés à mauvais escient pour permettre le déploiement de logiciels espions et la collecte d'un large éventail de données à partir de téléphones mobiles en dehors du champ d'enquêtes criminelles légitimes, ce qui constitue de graves menaces pour les droits de l'homme.
Amnesty International a soumis les conclusions du rapport au gouvernement serbe avant sa publication, mais aucune réponse n’a été reçue avant la publication de ce rapport.
Les autorités serbes doivent de toute urgence cesser d’utiliser des logiciels espions hautement invasifs, offrir des réparations efficaces aux victimes de surveillance ciblée illégale et poursuivre de manière responsable ceux qui ont violé les droits. Cellebrite et d’autres sociétés de criminalistique numérique sont également tenues de procéder à une vérification diligente adéquate pour garantir que leurs produits ne sont pas utilisés d’une manière qui contribue à des violations des droits de l’homme.
Au cours des dernières années, la répression de l’État et l’environnement hostile à ceux qui défendent la liberté d’expression en Serbie se sont intensifiés à chaque vague de manifestations antigouvernementales. Les autorités ont mené des campagnes continues de diffamation contre les ONG, les médias et les journalistes, et les participants aux manifestations pacifiques ont également été la cible d’arrestations et de répressions judiciaires.
*Le nom a été modifié pour protéger l'identité.