Incidents associés
Les chercheurs à l'origine d'un nouveau rapport sur un logiciel espion israélien utilisé pour surveiller les membres de la société civile affirment avoir découvert des « liens possibles » entre cette technologie controversée et la Police provinciale de l'Ontario (OPP), suggérant qu'elle pourrait avoir été utilisée dans le cadre d'enquêtes – une allégation que la police ne nie pas.
Le rapport du Citizen Lab de l'Université de Toronto, publié cette semaine, indique que les chercheurs ont retracé l'adresse IP d'un client canadien de Paragon Solutions jusqu'à l'adresse du quartier général de la Police provinciale de l'Ontario à Toronto.
Paragon vend le logiciel espion militaire « Graphite » à des clients gouvernementaux à des fins de sécurité nationale. Or, cet outil a été retrouvé ces dernières années sur les téléphones de journalistes, de militants et d'autres membres de la société civile du monde entier, utilisant des applications de communication comme WhatsApp.
« Nous avons également découvert des dossiers judiciaires qui témoignent d'un écosystème croissant de logiciels espions au sein des services de police de l'Ontario », a déclaré Kate Robertson, chercheuse principale au Citizen Lab et co-auteure du rapport, à Global News.
« Ces résultats révèlent un fossé grandissant dans la sensibilisation du public à l'ampleur de l'utilisation des logiciels espions au Canada. »
Les chercheurs qui ont suivi les serveurs connectés à l'outil Graphite de Paragon ont découvert d'autres déploiements suspects à quatre autres adresses en Ontario, dont un entrepôt partagé, un centre commercial linéaire, une brasserie et un appartement.
Un porte-parole de la Police provinciale de l'Ontario a refusé de confirmer si elle avait fait appel à Paragon à des fins d'enquête, mais n'a pas non plus démenti les conclusions du rapport dans une déclaration à Global News.
« La Police provinciale de l'Ontario a pour mandat d'assurer la sécurité publique et de prévenir ou d'enquêter sur les crimes, tout en respectant les droits et privilèges des citoyens et des visiteurs au Canada », a déclaré le sergent d'état-major par intérim Jeffrey Del Guidice, ajoutant que l'interception de communications privées « ne sert qu'à faire avancer les enquêtes criminelles sérieuses » et nécessite une autorisation judiciaire.
« La Police provinciale de l'Ontario utilise des outils et des techniques d'enquête en totale conformité avec les lois canadiennes, y compris la Charte des droits et libertés. La divulgation d'informations sur des techniques et technologies d'enquête spécifiques pourrait compromettre les enquêtes en cours et menacer la sécurité du public et des agents », poursuit le communiqué.
« La Police provinciale de l'Ontario respecte la Charte canadienne des droits et libertés et demeure déterminée à préserver la confiance du public. »
Qu'est-ce que Paragon ? ----------------
Paragon Solutions a été fondée en Israël en 2019 par l'ancien Premier ministre israélien Ehud Barak et Ehud Schneorson, ancien commandant de l'Unité 8200, le groupe israélien de cyberguerre et de renseignement militaire.
Son logiciel espion Graphite est commercialisé comme unique, contrairement à d'autres outils espions comme Pegasus de NSO Group, car il accorde spécifiquement aux clients l'accès aux applications de messagerie instantanée de l'appareil ciblé, plutôt qu'à l'intégralité du smartphone.
Citizen Lab affirme avoir partagé avec Meta l'année dernière les détails de sa cartographie de l'infrastructure de Paragon, qui a établi le lien potentiel avec OPP, après avoir déterminé que WhatsApp pouvait être utilisé comme « vecteur d'infection » par les utilisateurs de Graphite malgré son logiciel de chiffrement de bout en bout.
Fin janvier de cette année, WhatsApp a informé environ 90 utilisateurs dans plus d'une vingtaine de pays, dont des journalistes et d'autres membres de la société civile, qu'ils étaient probablement ciblés par le logiciel Paragon.
L'entreprise a ensuite corrigé une vulnérabilité « zéro clic » qui permettait à Paragon d'accéder aux appareils sans que les victimes n'aient à cliquer sur un lien infecté, comme c'est le cas lors d'attaques de logiciels malveillants classiques. Au lieu de cela, les attaquants téléchargeaient un PDF ou un autre document dans un groupe WhatsApp, qui était ensuite analysé par l'appareil, leur donnant ainsi accès.
« Nous avons constaté de visu comment les logiciels espions commerciaux peuvent être utilisés pour cibler les journalistes et la société civile, et ces entreprises doivent être tenues responsables », a déclaré un porte-parole de WhatsApp à Global News.
« Notre équipe de sécurité travaille constamment pour anticiper les menaces, et nous continuerons à œuvrer pour protéger la capacité des utilisateurs à communiquer en toute confidentialité. »
Le rapport de Citizen Lab détaille également l'utilisation du logiciel espion de Paragon contre des journalistes et des militants des droits de l'homme en Italie. Le gouvernement italien a reconnu le mois dernier, il s'agissait d'un client de Paragon après avoir nié avoir eu connaissance du problème, et le directeur du service de renseignement extérieur a confirmé l'agence avait déployé Graphite à plusieurs reprises.
Au cours des années précédentes, le groupe NSO, également basé en Israël, a été reconnu coupable d'un piratage de comptes WhatsApp par un logiciel espion en 2019, et une enquête ultérieure en 2021 a révélé que le programme Pegasus de l'entreprise avait été utilisé pour cibler des journalistes et des militants du monde entier. Paragon --- qui aurait été rachetée par le groupe d'investissement floridien AE Industrial Partners l'année dernière --- a tenté de se positionner publiquement comme l'un des acteurs les plus responsables du secteur.
Quel est l'historique du Canada en matière de logiciels espions ?
La GRC a publiquement reconnu en 2022 avoir utilisé des logiciels espions dès 2022](https://globalnews.ca/news/9044296/rcmp-cellphone-hacking-privacy/) pour accéder aux communications chiffrées de ses cibles d'enquête.
Un porte-parole de la GRC a confirmé que la police déploie toujours des logiciels espions, qu'elle qualifie d'« outils d'enquête intégrés aux appareils » (ODIT), mais que, comme l'a souligné la Police provinciale de l'Ontario, ils ne sont utilisés que pour des « enquêtes criminelles graves et des enquêtes de sécurité nationale », après autorisation judiciaire.
« L'approche prudente et mesurée de la GRC est démontrée par le fait qu'entre 2017 et 2024, les ODIT n'ont été utilisés que dans le cadre de 35 enquêtes, au cours desquelles un total de 57 appareils ont été ciblés », a déclaré Marie-Ève Breton dans un communiqué.
« Soyons clairs : les ODIT sont utilisés extrêmement rarement et dans des cas limités par la GRC. Leur utilisation est toujours ciblée. Elle est toujours limitée dans le temps et ne vise jamais à effectuer une surveillance injustifiée ou de masse. Ces outils ne sont pas utilisés en secret. »
La GRC n'a pas précisé si les logiciels espions sont utilisés pour cibler des membres de la société civile ou s'il s'agit d'un client de Paragon, précisant qu'elle ne commentera pas d'enquêtes ou d'outils spécifiques.
Les parlementaires canadiens ont mené des études sur l'utilisation des logiciels espions par les forces de l'ordre qui ont conclu qu'une réglementation était nécessaire. Le Canada, ainsi que neuf autres pays alliés, ont également soutenu la démarche de l'ancien président américain Joe Biden en 2023 pour lutter contre l'utilisation abusive des logiciels espions commerciaux et imposer des contrôles internationaux.
Mais aucune loi canadienne n'a été adoptée pour traiter ou réglementer l'utilisation des logiciels espions.
Un porte-parole du cabinet du ministre de la Sécurité publique, David McGuinty, n'a pas précisé si le gouvernement travaillait à un tel projet de loi, renvoyant à la Police provinciale de l'Ontario les questions concernant les conclusions du Citizen Lab sur l'utilisation de logiciels espions par la police canadienne. Le bureau du solliciteur général de l'Ontario n'a pas fait de commentaires.
Robertson a déclaré qu'il était essentiel que le gouvernement s'assure de ne pas participer au ciblage de membres de la société civile par le biais de programmes susceptibles de mettre en péril la sécurité nationale.
« Lorsque les gouvernements deviennent acheteurs de cette industrie proliférante de pirates informatiques, il faut bien comprendre qu'ils investissent dans l'insécurité et la vulnérabilité de tous les citoyens du Canada et du monde entier », a-t-elle déclaré.
« C'est pourquoi il ne s'agit pas seulement de déterminer les contrôles nécessaires concernant l'utilisation de ces logiciels, mais aussi de questions cruciales sur ce qui est proportionné et tolérable, en premier lieu, dans une société libre et démocratique. »
---avec des informations de Reuters