Incidents associés
Analyse de l'affaire Paragon à la lumière des précédents épisodes d'utilisation de l'IA à des fins de surveillance et des législations italienne et européenne sur la protection des données.
L'affaire Paragon
Le 31 janvier 2025, WhatsApp a envoyé une notification à au moins 90 personnes parmi des militants, des journalistes, et des opposants politiques à travers l'Union européenne, les informant qu'ils étaient ciblés par Graphite, un logiciel espion produit par la société technologique israélienne Paragon Solutions Ltd. Selon l'entreprise, ce logiciel de piratage de niveau militaire n'a été fourni qu'aux gouvernements démocratiques. L'affaire a rapidement éclaté en Italie : parmi les sept victimes qui ont jusqu'à présent signalé avoir été ciblées par le logiciel espion figurent plusieurs travailleurs de l'ONG Mediterranea Saving Humans, tels que son fondateur Francesco Cancellato, l'un de ses armateurs Beppe Caccia et l'un de ses aumôniers Mattia Ferrari. Alors que David Yambio — un militant pour les droits des migrants libyens et critique des politiques adoptées par le gouvernement italien sous le régime de Giorgia Meloni — a également été informé d'une tentative de compromission de son téléphone, les journaux ont même osé supposer qu'il pourrait y avoir un lien sous-jacent entre l'affaire Paragon et la libération illégale du commandant libyen des FDS/RADA Osama Almasri Njeem.
Depuis que le gouvernement italien n'a pas rendu public rendu public le dossier Paragon au Parlement, les spéculations vont bon train sur cette affaire. Parallèlement, le Citizen Lab, basé au Canada, a été chargé d'enquêter sur les atteintes à la vie privée des victimes de Graphite. Cette analyse ne vise pas à alimenter les conjectures et les allégations. Cet article explore plutôt le concept de logiciel espion et son fonctionnement. Il s'appuie également sur des cas similaires à celui qui nous occupe pour mettre en avant des recommandations visant à protéger la vie privée et les données personnelles des citoyens.
Logiciel espion : définition et fonctionnement
La Federal Trade Commission (FTC), agence gouvernementale américaine créée en 1914 par la loi sur la Commission fédérale du commerce, définit les logiciels espions (spywares) comme suit : « Un logiciel espion est un type de logiciel malveillant capable de contrôler ou de surveiller l'utilisation de votre ordinateur. Il peut être utilisé pour envoyer des fenêtres publicitaires intempestives, rediriger votre ordinateur vers des sites web indésirables, surveiller votre navigation sur Internet ou enregistrer vos frappes au clavier, ce qui peut entraîner une usurpation d'identité. »
Français Plus précisément, Graphite -- le logiciel espion de marque Paragon Solutions Ltd. -- exploite ce qu'on appelle les « jours zéro » (c'est-à-dire les vulnérabilités ou les failles de sécurité d'un système informatique) par le biais de « zéro clic » (c'est-à-dire sans aucune interaction préalable de l'utilisateur avec les liens ou les pièces jointes envoyés de quelque nature que ce soit) en raison du traitement automatique qui a lieu une fois que l'appareil reçoit de nouvelles données d'un expéditeur. De même, Graphite a réussi à cibler les téléphones portables, à agir comme un espion invisible, à écouter les conversations privées et à voler des informations secrètes sans que les victimes ne s'en aperçoivent. De cette façon, le logiciel espion offre une solution discrète et adaptée aux entités gouvernementales et aux agences de renseignement pour mener des opérations de surveillance et de traçage, généralement sur des suspects menaçant la sécurité nationale ou internationale, des terroristes et des criminels. Bien qu'elle n'ait pas directement commenté le scandale, Paragon Solutions Ltd. a confirmé avoir mis fin à son contrat avec l'Italie en raison de l'utilisation contraire à l'éthique du logiciel malveillant par l'Italie.
Cas similaires
En 2021, une enquête menée par seize journaux internationaux a révélé que cinquante mille numéros de téléphone avaient été collectés à partir de 2016 grâce au logiciel malveillant Pegasus, commercialisé par la société de surveillance israélienne NSO Group. Bien que NSO Group ait précisé que son logiciel était destiné à lutter contre la criminalité et le terrorisme, l'enquête indépendante a également révélé que les données personnelles d'au moins 65 dirigeants d'entreprise, 85 militants des droits de l'homme, 189 journalistes et plus de 600 personnalités politiques avaient également été collectées. Par ailleurs, Pegasus a également été vendu à divers régimes autocratiques : par exemple, Citizen Lab a démontré que ce logiciel espion avait été utilisé pour suivre et surveiller les déplacements du journaliste saoudien Jamal Khashoggi avant son assassinat le 2 octobre 2018 au consulat saoudien d’Istanbul (Turquie).
En tant que l'un des pays les plus technologiquement avancés au monde, Israël a massivement investi dans l'enseignement supérieur, la recherche et les start-ups, en particulier si celles-ci peuvent fournir de nouvelles solutions de haute technologie ou basées sur l'IA que l'armée peut déployer contre groupes armés voisins opposés (tels que le Hamas dans la bande de Gaza et le Hezbollah au Liban) ou pour identifier, contrôler et piste les Palestiniens locaux afin d'assurer la sécurité des colons israéliens en Cisjordanie et à Jérusalem. De telles innovations sont également exportées à l'étranger - et elles finissent rarement entre les mains de régimes démocratiques (qui, comme le montrent les derniers événements, sont également voués à abuser de ces technologies). Par exemple, Israël figurait parmi les dix plus grands exportateurs d'armes au monde (avec une part de 2,3 %](https://www.sipri.org/research/armament-and-disarmament/arms-and-military-expenditure/international-arms-transfers)) entre 2018 et 2022. Sans compter que l'Azerbaïdjan, Bahreïn, l'Inde, les Philippines et les Émirats arabes unis (EAU) figurent parmi ses principaux acheteurs, tous clairement des régimes autoritaires. Français Alors que l'IA prend le contrôle de tous les domaines de nos vies et que peu ou pas de réglementation est prévue en la matière, les démocraties sont censées se débattre avec de nouveaux défis pour trouver un compromis satisfaisant entre assurer la sécurité sur site et en ligne et respecter la vie privée et les données personnelles des citoyens. Par exemple, la France a été félicitée pour le niveau de sécurité exceptionnel atteint aux Jeux olympiques de Paris 2024, quelques mois seulement après l'infâme attaque de l'hôtel de ville de Crocus près de Moscou (Russie). Cet objectif a été largement atteint grâce à Cityvision, le logiciel de surveillance par caméras IA développé par l'entreprise française Wintics, déployé à Paris depuis 2020, qui assure lagestion des flux de mobilité, détection des zones à risques potentiels et filtrage des données de la ville et des transports en commun selon des critères sélectionnés.
S'il est indéniable que Cityvision de Wintics a considérablement amélioré la sécurité nationale française, des mesures préventives telles que la vidéosurveillance algorithmique peuvent potentiellement conduire à une surveillance biométrique de masse, menacer le droit à la vie privée et à la protection des données et violer le droit international des droits de l'homme. Ce point a été soulevé dans une lettre publique signée par des organisations de la société civile de toute l'Europe, mais la France a décidé de ne pas répondre publiquement à leurs préoccupations à l'occasion de Paris 2024.
Recommandations
Les différents épisodes explorés dans cette analyse – l'affaire Paragon, l'affaire Pegasus, le marché israélien des hautes technologies au sens large et le paysage sécuritaire français basé sur l'IA à Paris 2024 – présentent un point commun : l'IA n'est soumise à aucune législation nationale ou internationale contraignante. Il est donc encore plus difficile de trouver un terrain d'entente sur les pays qui devraient bénéficier de l'immense potentiel de l'IA et sur le prix à payer en cas de violations et d'abus révélés. Souvent, les entreprises se retrouvent ainsi seules à dicter les conditions – ou à ne pas les imposer du tout, en fonction de leur position éthique sur la question. En retour, cela laisse les gouvernements et les agences de renseignement pratiquement impunis en cas d'utilisation abusive ou de violations flagrantes.
Concernant l'affaire Paragon, l'Autorité italienne de protection des données a réitéré le droit à la confidentialité des communications en vertu de l'article 15, consacré par la Constitution italienne, ainsi que par la législation européenne en la matière. En effet, le Règlement général sur la protection des données (RGPD) définit les « données personnelles » comme toute information permettant d'identifier une personne physique, y compris les métadonnées collectées par des logiciels espions (article 4). En outre, sans consentement, les données ne peuvent être traitées légalement que pour des raisons d'intérêt public (article 6). Enfin, des restrictions plus strictes s'appliquent aux données révélant des informations sensibles telles que les opinions politiques, l'origine ethnique, la santé et l'orientation sexuelle (article 9).