Les espions sont déjà dans votre mobile ; et si la société NSO les rejoignait ?
Rechercher

Les espions sont déjà dans votre mobile ; et si la société NSO les rejoignait ?

Pour combattre le coronavirus, le gouvernement s'appuie sur un système de suivi intrusif ; Il compte maintenant se tourner vers NSO, accusée de violations des droits humains

Simona Weinglass est journaliste d'investigation au Times of Israël

Image conceptuelle - technologie de reconnaissance faciale - illustration du concept de grandes données et de sécurité en ville. Les gens marchent dans la rue le soir, le système de vision nocturne les observe. (iStock)
Image conceptuelle - technologie de reconnaissance faciale - illustration du concept de grandes données et de sécurité en ville. Les gens marchent dans la rue le soir, le système de vision nocturne les observe. (iStock)

Avec un taux de chômage de 25 % et la plupart des Israéliens confinés dans un rayon de 100 mètres autour de leur domicile en raison de la pandémie de coronavirus, peu ont prêté attention au programme gouvernemental de suivi des Israéliens contaminés par le coronavirus à l’aide des données des téléphones portables.

Dans un sondage réalisé la semaine dernière par l’Institut israélien de la démocratie, 63 % des Israéliens juifs et 38 % des Israéliens arabes ont déclaré qu’ils faisaient confiance au Shin Bet et aux autres organismes gouvernementaux pour utiliser les données qu’ils collectent de manière responsable, et uniquement dans le but de prévenir la contagion.

Mais Tehilla Shwartz Altshuler, chercheuse principale à l’Institut israélien de la démocratie et responsable du programme de l’institut sur la démocratie à l’ère de l’information, estime que cette confiance ne devrait pas exister. Elle avertit que dans le chaos et la confusion de la pandémie de coronavirus, le gouvernement israélien a entrepris « une violation extrême et massive des droits humains, permettant à un service secret qui est l’organisme le plus opaque que vous puissiez imaginer, d’avoir accès à toutes les données numériques personnelles des citoyens israéliens ».

Non seulement le Shin Bet a obtenu un accès sans précédent aux données de tous les Israéliens, y compris l’historique de leur localisation et des informations sur les appels téléphoniques, les SMS et les sites web qu’ils ont visités, dit Tehilla Shwartz Altshuler, mais le ministre de la Défense Naftali Bennett a récemment annoncé un plan pour analyser ces données de téléphones portables avec l’aide d’une société privée extrêmement controversée, le groupe NSO.

Tehilla Shwartz Altshuler, chercheur à l’Institut israélien de la démocratie. (Autorisation)

Le groupe NSO a été accusé par Facebook lors d’un procès récent d’utiliser son application de messagerie WhatsApp pour pirater les téléphones portables de près de
1 400 journalistes, diplomates, dissidents et militants des droits humains dans le monde. L’entreprise ferait l’objet d’une enquête du FBI et, comme l’a déjà rapporté le Times of Israel, ses propriétaires ont des liens avec l’industrie israélienne des options binaires, illégale et dans une large mesure malhonnête.

Le groupe NSO a nié tout acte répréhensible dans le procès contre Facebook et dans plusieurs autres procès intentés contre lui par des militants des droits humains.

« Le seul objectif de NSO est de fournir des technologies aux services de renseignement et agences gouvernementales habilités afin de les aider à lutter contre le terrorisme et les crimes graves. Notre technologie n’est pas conçue ni autorisée pour être utilisée contre les militants des droits humains et les journalistes. Elle a contribué à sauver des milliers de vies ces dernières années », a déclaré la société dans un communiqué d’octobre 2019.

Le Times of Israel a demandé à un porte-parole de Naftali Bennett si le ministre estime que le groupe NSO dispose de l’intégrité et de la stature morale nécessaires pour avoir potentiellement accès aux données personnelles de tous les citoyens israéliens.

« Pas de commentaire », a-t-on répondu.

Le Times of Israel a interviewé Shwartz Altshuler pour comprendre pourquoi elle pense que les nouvelles méthodes de traçage des téléphones portables en Israël sont plus invasives que celles mises en œuvre dans d’autres pays démocratiques, et pourquoi elle pense que les pouvoirs accordés au Shin Bet et potentiellement au groupe NSO aussi devraient profondément inquiéter tous les Israéliens. Nous avons également parlé à un ancien procureur fédéral américain et consulté d’autres experts.

Comment les gouvernements utilisent les données des téléphones portables pour circonscrire le coronavirus

Le 14 mars, le Premier ministre Benjamin Netanyahu a annoncé qu’Israël utiliserait les données des téléphones portables pour suivre les porteurs de coronavirus.

« Jusqu’à aujourd’hui, j’ai évité d’utiliser ces mesures au sein de la population civile, mais il n’y a pas le choix », a annoncé M. Netanyahu lors d’une conférence de presse télévisée à une heure de grande écoute. Il a reconnu que ces mesures portaient atteinte à la vie privée des citoyens, mais a déclaré que l’impératif de contrecarrer la propagation de la pandémie primait, et souligné que le ministère de la Justice lui avait donné son feu vert.

Le Premier ministre Benjamin Netanyahu va prononcer un discours depuis son bureau de Jérusalem en pleine crise du coronavirus, le 14 mars 2020. (Gali Tibbon/Pool via AP, File)

Mais qu’entendait exactement Netanyahu par données de téléphone portable, et à quels types d’atteinte à la vie privée faisait-il allusion ?

Tehilla Shwartz Altshuler a expliqué que Netanyahu faisait référence à une méthode appelée « recherche des contacts », qui, selon elle, est utilisée dans de nombreux pays, tant démocratiques que non démocratiques.

L’idée derrière la recherche des contacts telle qu’elle s’applique dans la lutte contre la pandémie, a-t-elle dit, est d’identifier les personnes dans ce qu’elle a appelé les premier, deuxième et troisième cercles de contagion.

« Disons que vous avez été diagnostiqué porteur du coronavirus. Je veux revenir 14 jours en arrière et savoir exactement où vous avez été et qui vous avez croisé sur votre chemin. Peut-être que vous êtes revenu d’Amérique il y a 14 jours et que vous êtes resté chez vous sans rencontrer personne. Ou peut-être que vous ne saviez pas que vous étiez malade et que vous êtes allé travailler, que vous avez pris le train et que vous êtes allé au supermarché. Toutes les personnes qui ont croisé votre route sont ce qu’on appelle le deuxième cercle. Et toutes les personnes qu’ils ont, à leur tour, rencontrées sont le troisième cercle ».

A LIRE : Comment le suivi des portables vous surveille encore plus précisément qu’un GPS

Elle indique que la meilleure façon de savoir avec qui un patient a été en contact est de lui demander, mais cela ne fonctionne qu’avec des personnes qu’il connaît personnellement. S’il est allé au supermarché ou a pris le bus, la seule façon de savoir avec qui ils ont été en contact étroit est d’analyser les données de localisation du téléphone portable.

Un des membres de l’équipe médicale de l’hôpital Barzilay, dans la ville d’Ashkelon, au sud d’Israël, porte un équipement de protection, alors qu’il manipule un échantillon de coronavirus, le 29 mars 2020. (Flash90)

« Les données de localisation peuvent permettre de comprendre qui vous avez rencontré au cours des 14 derniers jours », a-t-elle déclaré. « Toutes ces personnes doivent être mises en quarantaine. Ils doivent recevoir un SMS leur disant de rester chez eux ».

Le suivi de la localisation peut être une pratique légitime, estime Tehilla Shwartz Altshuler, tant que l’organe gouvernemental qui obtient et analyse les données est un organe civil et non une agence militaire ou de renseignement.

Elle a souligné que si le Shin Bet a certainement la capacité technique de faire de la recherche de contacts, le fait qu’Israël ait chargé le service de le faire est sans précédent et très problématique.

« C’est un service secret », a-t-elle dit. « Il opère à huis clos, et tout ce qu’il fait est top secret. Nous avons donc créé un système où toutes les données de localisation de tous les citoyens en Israël sont analysées quotidiennement par le Shin Bet ».

Les données de localisation qui sont maintenant entre les mains du Shin Bet, dénonce-t-elle, montrent où se trouvait une personne donnée à un moment donné, chaque site web qu’elle a visité, ainsi qu’un historique de ses appels téléphoniques et de ses SMS et à qui elle parlait ou envoyait des SMS. Il n’inclut pas le contenu de ces appels ou de ces SMS, précise-t-elle.

Quant à la manière exacte dont ces données sont obtenues, elle explique que le Shin Bet a un accès direct à l’infrastructure cellulaire en Israël, ce qui est un fait peu connu. L’agence n’a pas besoin de demander aux entreprises de téléphonie mobile les données de localisation, puisqu’elle peut les obtenir de manière indépendante.

« Le Shin Bet recueille ces informations tout le temps, et pas seulement pendant la crise du coronavirus », révèle-t-elle. « Le journaliste Ronen Bergman a récemment écrit un article à ce sujet [dans le Yedioth Ahronoth et le New York Times], mais l’Institut israélien de la démocratie en a écrit un il y a un an. Nous avons souligné qu’il n’y a pas assez de surveillance ».

Le chef du Shin Bet, Nadav Argaman. (Flash90)

En temps normal, le Shin Bet conserve toutes ces informations dans une vaste base de données qu’il n’utilise pas et à laquelle il n’a pas automatiquement accès. « S’ils veulent suivre une personne en particulier, ils ont besoin d’une autorisation du tribunal ».

Ce qui a changé depuis l’annonce de Netanyahu du 14 mars, dit-elle, c’est que maintenant le Shin Bet a « un accès massif à cette base de données sans aucune autorisation judiciaire, non pas pour une personne spécifique, mais pour toute personne qui aurait pu être proche d’un individu contaminé ».

« Je considère qu’il s’agit d’une violation extrême et massive des droits humains », dénonce-t-elle.

Elle reconnaît néanmoins que certaines mesures ont été mises en place pour prévenir les utilisations mauvaises ou abusives de ces données.

« Le Shin Bet n’est pas autorisé à le transmettre à un autre organisme gouvernemental et est censé effacer ou supprimer toutes les informations une fois la crise du coronavirus terminée. Mais comme vous pouvez l’imaginer, la surveillance est assez légère ».

Ankush Khardori, un ancien procureur fédéral américain, a déclaré au Times of Israel que le type et la quantité de données que le Shin Bet aurait recueillies pourraient s’avérer immensément dangereuses entre de mauvaises mains.

« Si ces informations sont exactes, il s’agit d’un ensemble extraordinaire de données qui pourraient être utilisées et détournées d’innombrables façons », a-t-il mis en garde. « Mis à part le fait de savoir si elles n’auraient pas dû être collectées en premier lieu, les données historiques de géolocalisation – qui suivent les mouvements d’une personne par le biais de son téléphone portable – peuvent être utilisées pour déterminer des détails profondément personnels de la vie d’une personne, comme par exemple si elle cherche à obtenir des conseils en matière de santé mentale, si elle suit un traitement contre la toxicomanie ou si une personne mariée a une liaison. Entre de mauvaises mains, il ne serait pas difficile d’utiliser ce genre d’informations à des fins d’extorsion ou de chantage ».

Il a ajouté : « Si l’on y superpose les données d’appel et les données de navigation sur le web, on a encore plus accès à des informations sensibles sur le comportement et les déplacements des personnes – informations qui pouvaient leur sembler éphémères à l’époque mais qui peuvent prendre une signification inébranlable grâce à la permanence des données. Combien d’entre nous voudraient que toute l’histoire de leur navigation sur le web mobile – qui peut contenir certains de leurs intérêts et pensées les plus fugaces – soit scrutée par une autre personne » ?

Partenariat avec le groupe NSO

Le 30 mars, le ministre de la Défense Naftali Bennett a annoncé dans une série de tweets qu’Israël avait également développé un système d’intelligence artificielle sophistiqué, distinct du dispositif actuellement utilisé par le Shin Bet, pour suivre la propagation du coronavirus.

« À mon avis, c’est le plus avancé au monde », a-t-il écrit, à côté d’un émoticône représentant un biceps musclé.

Un tweet du 30 mars 2020 du ministre israélien de la Défense Naftali Bennett vantant un nouvel outil de suivi du coronavirus que le ministère de la Défense a développé en partenariat avec NSO Group. (Twitter)

Le système, a-t-il dit, attribuera à chaque citoyen du pays une note de 1 à 10 en fonction de la probabilité qu’il soit infecté par le coronavirus.

« Disons qu’avant-hier, vous avez utilisé un distributeur automatique de billets qui avait été utilisé une heure plus tôt par un patient atteint du coronavirus, votre note pourrait atteindre, disons, 9 ou plus. Le système identifie, en temps réel, les bâtiments, les quartiers et les points de contagion, que nous allons ‘attaquer’ en les verrouillant ou en effectuant un grand nombre de tests ».

Naftali Bennett a également révélé que le système était une entreprise commune entre le ministère de la Défense, l’unité de renseignement 8200 de Tsahal et une société privée de haute technologie, dont il n’a pas précisé le nom.

Le ministre de la Défense Naftali Bennett inspecte l’hôtel Dan à Tel Aviv, qui a été aménagé le 16 mars 2020 en installation de quarantaine pour les porteurs du coronavirus. (Compte Twitter de Naftali Bennett)

Mais lors d’une audition à la Knesset le 31 mars dernier de la sous-commission des services secrets, des députés ont révélé que la société en question n’était autre que le controversé groupe NSO.

L’entreprise est surtout connue pour la commercialisation du logiciel Pegasus, qui peut pirater le contenu de n’importe quel téléphone, ainsi qu’allumer l’appareil photo et le microphone du téléphone afin d’espionner son propriétaire. En octobre, Facebook, propriétaire de l’application de messagerie WhatsApp, a intenté un procès aux États-Unis contre NSO, l’accusant d’utiliser WhatsApp pour faire du cyber-espionnage sur près de 1 400 journalistes, diplomates, dissidents et militants des droits de l’homme dans le monde. Le groupe NSO ferait également l’objet d’une enquête du FBI.

En mai 2019, des représentants d’Amnesty International Israël et quelques dizaines d’autres militants des droits humains israéliens ont demandé au tribunal de district de Tel Aviv d’ordonner l’abrogation de la licence d’exportation du groupe NSO parce que ce dernier aurait utilisé Pegasus contre des représentants d’Amnesty International aux Émirats arabes unis.

La requête alléguait qu’en permettant au groupe NSO d’exporter ses logiciels, Israël ne respectait pas la Déclaration universelle des droits de l’homme de 1948, qui stipule que « nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation ». Toute personne a droit à la protection de la loi contre de telles immixtions ou atteintes ».

« Il n’y a pas beaucoup d’entreprises israéliennes qui ont une plus mauvaise réputation que le groupe NSO », a commenté Tehilla Shwartz Altshuler.

Elle a déclaré que pour que l’outil logiciel de NSO de Naftali Bennett fonctionne, il faudrait disposer des données de localisation des téléphones portables.

« Nous ne savons pas d’où il prévoit d’obtenir ces données de localisation. S’il veut utiliser celles du Shin Bet que j’ai décrites précédemment, cela n’est pas autorisé selon la réglementation d’urgence. Il a été spécifiquement indiqué que le Shin Bet ne peut transférer aucune information à un autre organisme que le ministère de la Santé. Si, par contre, il veut utiliser les données de localisation régulières des compagnies de téléphone portable, il doit disposer d’une sorte de mandat pour demander ces données ».

Selon Tehilla Shwartz Altshuler, le nouvel outil de traçage de Naftali Bennett est en soi potentiellement utile, car il peut effectuer le traçage des contacts pour les premier, deuxième et troisième cercles de contagion.

« Il peut le faire d’une manière visuelle très agréable. Il peut fournir des cartes thermiques qui permettent aux décideurs de voir où les épidémies s’aggravent et quelles parties du pays sont relativement exemptes de maladie ».

Mais, a prévenu Tehilla Shwartz Altshuler, le système d’intelligence artificielle que Bennett veut utiliser présente deux problèmes majeurs.

Le premier concerne l’utilisation d’un tel outil par les établissements militaires et de sécurité de l’État.

« L’armée n’est pas soumise à la loi sur la liberté de l’information ; elle n’a pas les restrictions d’une institution qui traite des données personnelles des civils », a-t-elle noté. « Nous donnons à l’armée des pouvoirs étendus pour combattre les ennemis, pas pour combattre les civils ».

Une femme israélienne utilise son téléphone devant un bâtiment à Herzliya qui héberge la société de renseignement du groupe NSO, le 28 août 2016. (Jack Guez/AFP/Fichier)

Elle a indiqué que si les démocraties asiatiques comme Taïwan et la Corée du Sud ont utilisé les données de localisation des téléphones portables pour la recherche des contacts dans le cadre de la lutte contre la pandémie, elles n’ont pas impliqué les institutions militaires ou de défense.

« Ils se sont adressés directement aux compagnies de téléphonie mobile, ont utilisé les réglementations d’urgence pour demander des données sur les téléphones portables, puis les ont transmises directement au ministère de la Santé publique. Ils n’ont pas impliqué l’armée ou la police et certainement pas les services secrets ».

Mais ce qui est particulièrement troublant, selon Tehilla Shwartz Altshuler, c’est que Naftali Bennett n’a pas trouvé problématique d’impliquer le NSO Group dans son initiative.

« Le NSO Group a très mauvaise réputation. Il n’y a pas tant de sociétés israéliennes qui ont été condamnées par le rapporteur spécial des Nations unies sur la liberté d’expression », a-t-elle indiqué , faisant référence aux multiples déclarations du rapporteur spécial David Kaye qui a pointé du doigt la société pour opprobre et violations présumées des droits humains.

NSO a nié tout acte répréhensible.

Le 5 avril, M. Bennett a déclaré à la radio de l’armée que l’outil d’intelligence artificielle doit être approuvé par le Premier ministre avant de pouvoir être utilisé.

« Nous attendons une décision du gouvernement », a-t-il déclaré. « Dès que le Premier ministre aura pris sa décision, cela se fera. Nous avons besoin de cet outil parce que c’est comme la différence entre utiliser Waze et simplement signaler un embouteillage. Cet outil est le Waze du coronavirus ».

Bennett a assuré aux auditeurs que seul le gouvernement, et non le NSO Group, traiterait réellement les données. Il a déclaré que le rôle de NSO serait uniquement de fournir les logiciels que le gouvernement contrôlerait.

« Nous avons besoin de cet outil si nous voulons relancer l’économie », a clamé M. Bennett. « Nous devons savoir si un feu de broussailles du virus s’est déclenché à Dimona ou à… Kiryat Shmona. En ce moment, nous sommes effectivement aveugles ».

Le Times of Israel s’est entretenu avec une source au sein de l’industrie israélienne de la cybersécurité qui a demandé à ne pas être citée. Selon elle, NSO vend actuellement son logiciel de coronavirus à des pays du monde entier et pourrait vendre des éléments du logiciel Pegasus à ces gouvernements dans le cadre d’un accord global.

Des connexions troublantes

Trois des fondateurs du NSO Group – Omri Lavie, Shalev Hulio et Isaac Zack – investissent leur argent personnel par l’intermédiaire d’une société d’investissement connue sous le nom de « Groupe des fondateurs » qui a investi dans le secteur essentiellement frauduleux des options binaires.

Les fondateurs du groupe NSO Omri Lavie, Shalev Hulio et Isaac Zack dans une brochure du groupe des fondateurs de 2016. (Capture d’écran)

Le Groupe des fondateurs affirme dans ses supports promotionnels qu’il a fourni 1,85 million de dollars de fonds d’amorçage pour 23Traders, une société d’options binaires. En décembre 2016, un Canadien du nom de Fred Turbide s’est suicidé après avoir perdu ses économies de toute une vie via l’entreprise.

L’avocat israélien Yoram Fay, qui représente un citoyen britannique qui dit avoir perdu toutes ses économies au profit de 23traders.com, a déclaré qu’il n’aimait pas l’idée que les grands investisseurs de la société qui aurait escroqué son client puissent aider le gouvernement à combattre le coronavirus.

Brochure promotionnelle 2016 du Founders Group. (Crédit : capture d’écran)

« En tant que citoyen israélien, cela me met très mal à l’aise que toute personne connectée à des options binaires ait accès à mes données personnelles. C’est une chose que le gouvernement possède mes données et qu’il les utilise pour fournir des services, et même si le gouvernement me traque dans le but d’empêcher la propagation du coronavirus. Mais le gouvernement ne tente pas de voler les gens comme l’ont fait les entreprises d’options binaires ».

Ankush Khardori, l’ancien procureur fédéral américain, est lui aussi déconcerté par cette idée.

« Si un gouvernement envisageait de partager des informations de ce type avec une entreprise privée – une mauvaise idée au départ, mais supposons qu’il le fasse – j’espère qu’il procéderait à l’examen le plus rigoureux possible de cette entreprise et qu’il insisterait sur les garanties les plus solides disponibles ».

Il ajoute : « Le fait que ces données puissent être partagées avec une entreprise ayant des liens ou une implication dans l’industrie des options binaires est encore plus troublant. Sur la base de mon expérience en tant que procureur enquêtant sur cette industrie – et sans faire de commentaires sur les connaissances que je pourrais avoir sur cette entreprise en particulier – je peux dire que la fraude et la mauvaise conduite prévalaient dans ce secteur à des taux alarmants. Pour autant que je sache, presque toute l’industrie était impliquée dans des fraudes à un certain niveau ».

Malgré les antécédents problématiques de NSO et de ses propriétaires,  Shwartz Altshuler estime que Bennett n’a pas été dissuadé par les retombées potentielles du partenariat, y compris les éventuelles répercussions en matière de relations publiques, car les Israéliens restent largement inconscients des préoccupations relatives à la vie privée.

« Il a fait cela parce qu’il sait que la population israélienne ne s’en souciera pas. L’histoire de NSO et celle du Shin Bet sont d’un grand intérêt pour la communauté anglophone en Israël et pour la communauté internationale. Il est incroyable de constater le peu d’indignation que cela suscite auprès des Israéliens de langue hébraïque ».

Réponse du NSO Group

Le Times of Israel a contacté le NSO Group pour recueillir ses commentaires, mais n’a pas eu de retour de sa part avant la publication. Dans une réponse reçue peu après la publication, l’intéressé a déclaré « Malheureusement, nous n’avons pas reçu votre demande de commentaire. Nous supposons que si nous avions eu la possibilité de présenter notre système, cela aurait empêché la publication de cet article biaisé qui ne reflète pas la réalité et est rempli d’inexactitudes ».

« Le NSO Group a développé, à la vitesse de l’éclair, un système analytique et stratégique destiné à être utilisé par les décideurs pour gérer la propagation du coronavirus ainsi que les marchés et l’économie. »

« L’entreprise a développé la technologie au profit des États et ne l’exploite pas, de sorte que les données ne sont pas transmises à l’entreprise. Les affirmations concernant l’atteinte à la vie privée ne sont pas correctes. Les données qui seront nécessaires pour faire fonctionner le système par les autorités et les gouvernements sont des données statistiques et agrégées, et non des données personnelles ».

Judah Ari Gross a contribué à cet article.

En savoir plus sur :
C’est vous qui le dites...