Facebook bannit de ses plateformes sept compagnies « cyber-mercenaires »

Le 16 décembre 2021, par Stephanie Kirchgaessner et Michael Safi

La compagnie va aussi envoyer des avertissements à 48 000 personnes qui, après enquête, pourraient avoir été visées par une activité malveillante en ligne

L’enquête menée par Facebook arrive alors que la compagnie doit elle-même faire face à un examen intense à Washington et dans le monde. Photographe : Olivier Douliery/AFP/Getty Images

Après une investigation de plusieurs mois dans l’industrie « cyber-mercenaire », Facebook a banni sept compagnies de « surveillance pour le compte d’autrui » de ses plateformes et enverra des avertissements à 48 000 personnes dont la compagnie pense qu’elles ont été visées par une activité malveillante en ligne.

La compagnie de réseau social a dit jeudi [16 décembre] que son enquête a révélé de nouveaux détails sur la manière dont les compagnies de surveillance permettent à leurs clients de cibler des personnes « de manière indiscriminée » sur tout internet, afin de rassembler des renseignements sur elles, de les manipuler — et finalement de compromettre leurs équipements.

Parmi les compagnies de surveillance que Facebook a nommées dans son enquête et bannies de ses plateformes figurent :

  • Black Cube, une compagnie israélienne qui est devenu fameuse lorsqu’il est apparu qu’Harvey Weinstein, magnat des médias maintenant en disgrâce et délinquant sexuel condamné, les avait engagés pour cibler des femmes qui l’avaient accusé d’agression. Black Cube a rejeté les affirmations de Facebook sur ses activités.
  • Cobwebs, une autre compagnie israélienne dont Facebook a dit qu’elle permettait à ses clients d’utiliser des sites web publics et des sites du dark web pour tromper leurs cibles et leur faire révéler des informations personnelles. La compagnie aurait aussi travaillé pour des clients aux États-Unis, dont un département de la police locale à Hartford, dans le Connecticut.
  • Cytrox, une entreprise de la Macédoine du Nord dont Facebook a dit qu’elle permettait à ses clients d’infecter des cibles avec des logiciels malveillants après des campagnes de phishing.

L’enquête menée par Facebook arrive alors que la compagnie doit elle-même faire face à un examen intense à Washington et dans le monde, après les accusations d’une lanceuse d’alerte, Frances Haugen, selon lesquelles la compagnie faciliterait les discours de haine et la désinformation.

L’enquête de Facebook est néanmoins importante parce qu’elle révèle de nouveaux détails sur la manière dont des parties de l’industrie de surveillance utilisent les réseaux sociaux — de Facebook à Instagram — pour créer de faux comptes afin de tromper leurs cibles et de cacher leurs propres activités.

Alors que beaucoup de compagnies affirment qu’elles sont employées pour viser des criminels et des terroristes, Facebook a dit que l’industrie permet « régulièrement » à ses clients de cibler des journalistes, des dissidents, des critiques des régimes autoritaires et des militants pour la défense des droits humains ainsi que leurs familles.

« Notre espoir est de contribuer à une compréhension plus large des maux que cette industrie représente dans le monde entier et d’appeler les gouvernements démocratiques à prendre d’autres mesures pour aider à la protection des personnes et pour imposer un contrôle sur les vendeurs de logiciels espions répandus », a dit la compagnie. Elle a ajouté qu’elle n’avait pas seulement éliminé de ses plateformes les faux comptes des compagnies, mais qu’elle avait aussi émis des ordonnances de cesser et de s’abstenir et qu’elle travaillerait à garantir que les compagnies ne cherchent pas à se réinscrire sur ses plateformes.

Facebook a dit que les 48 000 personnes qui recevront des avertissements n’ont pas toutes été piratées, même si la compagnie croit effectivement qu’ils ont été sujets à une « activité malveillante ».

Elle a aussi souligné l’attention intense portée récemment par les médias, lors d’investigations par le Guardian et d’autres organes de presse, sur le groupe NSO, le fabricant israélien de logiciels espions qui était au cœur du Projet Pegasus et a été récemment mis sur liste noire par l’administration Biden. WhatsApp, qui appartient à la compagnie mère de Facebook, Meta, a intenté un procès contre NSO en 2019 et a été un critique majeur de la compagnie. NSO ne fait pas partie des compagnies bannies jeudi.

« Il est important de comprendre que NSO n’est qu’une pièce dans un écosystème cyber-mercenaire mondial plus large », a dit Facebook.

Alors que Facebook annonçait son enquête, des chercheurs de pointe au Citizen Lab de l’Université de Toronto ont publié un nouveau rapport qui se concentrait sur une entité – Cytrox – dont le logiciel espion, appelé Predator, aurait été utilisé par un client inconnu pour pirater les équipements de deux individus.

L’un d’eux, Ayman Nour, est un politicien égyptien en exil qui, selon Citizen Lab, s’est trouvé avoir été simultanément piraté par deux États nationaux clients distincts, l’un utilisant Predator et l’autre utilisant Pegasus. Nour, qui est basé en Turquie, est le président d’un groupe d’opposition politique égyptien appelé l’Union des forces nationales égyptiennes et il a été candidat à une élection présidentielle contre l’ancien président Hosni Mubarak.

Ayman Nour parle aux médias à Istanbul, en Turquie, de la disparition de Jamal Khashoggi en 2018. Photographe : Anadolu Agency/Getty Images

Après sa campagne, il a été emprisonné pendant quatre ans sur des allégations — considérées comme étant politiquement motivées – de falsification de signatures pour des pétitions. Il a été libéré après des pressions internationales. Il était aussi un collaborateur de Jamal Khashoggi, le journaliste du Washington Post qui a été assassiné par des agents saoudiens au consulat saoudien en 2018.

Dans un interview avec le Guardian, Nour a dit que c’était douloureux d’apprendre qu’il avait été piraté.

« Cela a eu un impact psychologique négatif sur moi. Mes gosses vivent au Royaume-Uni et aux États-Unis et je vis dans un troisième pays, la Turquie, donc étant sûr que j’étais espionné, j’ai cessé de communiquer avec mes fils, parce que j’ai peur pour eux », a-t-il dit.

Nour a dit qu’il avait participé à un meeting par zoom avec des Egyptiens, des Saoudiens et des Emiratis dans le cadre d’une discussion sur l’utilisation de la peine de mort dans les pays arabes le jour où les chercheurs ont appris ultérieurement qu’il avait été piraté.

Une deuxième cible, qui est restée anonyme, a été décrite par Citizen Lab comme un journaliste en exil, ouvertement critique du régime d’Abdel Fatah al-Sisi.

Cytrox n’a pas immédiatement répondu à notre demande de commentaire.

Des analyses internes de Citizen Lab ont découvert des clients probables de Predator en Arménie, en Egypte, en Grèce, en Indonésie, à Madagascar, à Oman, en Arabie saoudite et en Serbie.

Cytrox ferait partie d’Intellexa, « l’Alliance star » des logiciels espions qui a été formée pour concurrencer NSO et se décrit sur son site web comme étant basée et réglementée aux États-Unis. Intellexa n’a pas répondu à notre demande de commentaire.

Un porte-parole de NSO a dit qu’il n’avait pas vu le rapport de Citizen Lab mais que les affirmations étaient « technologiquement et contractuellement illogiques » parce que l’Egypte est sur une liste de « non-vente » pour NSO, n’était pas un client et « n’en serait jamais un ».

« L’utilisation d’outils électroniques pour surveiller des dissidents, des activistes et des journalistes est une mauvaise utilisation grave de toute technologie et va contre l’usage souhaité de tels outils critiques. La communauté internationale devrait avoir une politique de tolérance zéro envers de tels actes, donc une régulation globale est nécessaire. La compagnie NSO a prouvé dans le passé qu’elle avait une tolérance zéro pour ces types de mauvais usages, en mettant fin à des contrats », a dit le porte-parole.

Des rapports précédents du Projet Pegasus ont montré que NSO avait précédemment conservé certains clients, dont les Emirats arabes unis, malgré des allégations d’abus. La compagnie a quant à elle indiqué avoir coupé les liens avec certains clients, dont l’Arabie saoudite et les Emirats arabes unis, après des allégations d’abus.

Citizen Lab a dit que Cytrox aurait commencé comme une startup en Macédoine du Nord et que l’entreprise est présente en Israël et en Hongrie.

Dans son rapport, Facebook a dit éliminer 300 comptes sur Facebook et Instagram liés à Cytrox. La compagnie a dit que les enquêtes avec Citizen Lab avaient découvert une « vaste infrastructure de domaines » qu’elle pensait utilisés par Cytrox pour usurper des entités d’informations authentiques dans les pays qui les intéressaient.

Dans son rapport sur les menaces, Facebook a décrit trois étapes que les clients de la plupart des compagnies sous investigation utilisent pour viser des individus. D’abord, l’étape de la reconnaissance, qui inclut « la surveillance à distance » pour discerner les intérêts individuels. Suit ce que Facebook appelle une « étape d’engagement », dans lequel les clients des compagnies établissent alors le contact avec les cibles et essaient de bâtir de la confiance, de solliciter de l’information et de les « tromper » pour qu’ils cliquent sur des liens et téléchargent des documents.

Enfin, Facebook a dit que l’étape finale implique « le piratage pour le compte d’autrui » dans lequel des individus sont piratés ou ciblés par des programmes malveillants. La compagnie a dit qu’il était important de se concentrer sur les deux premières étapes de la surveillance invasive (qui ont reçu moins d’attention dans les rapports des médias) et de les interrompre.

Dans le cas de Black Cube, Facebook a dit avoir éliminé 300 comptes Facebook et Instagram liés à la compagnie.

« Black Cube a exploité des personnages fictifs taillés pour ses cibles : certains d’entre eux se sont fait passer pour des étudiants diplômés, des travailleurs d’ONG et de défense des droits humains et des producteurs de film ou de télévision », a dit Facebook.

Dans une déclaration, Black Cube – qui s’est excusé publiquement pour son travail pour Weinstein – a déclaré : « Black Cube ne réalise aucun phishing ou piratage et n’opère pas dans le cybermonde. Black Cube est une société de soutien pour des recours en justice, qui utilise des méthodes d’investigation légales Humint afin d’obtenir de l’information pour des contentieux et des arbitrages. Black Cube travaille avec des firmes juridiques de premier plan dans le monde pour prouver des pots-de-vin, dévoiler la corruption et récupérer des centaines de millions d’actifs volés. Black Cube demande des conseils juridiques dans toute juridiction dans laquelle nous opérons afin de garantir que toutes les activités de nos agents sont totalement conformes aux lois locales. »

D’autres entités bannies par Facebook incluent : Cognyte, Bluehawk CI, BellTroX et ce qui a été décrit comme une « entité inconnue » en Chine qui, dit Facebook, était responsable de ciblage malveillant et semble avoir été utilisée pour l’application des lois intérieures en Chine. Le logiciel malveillant déployé par le groupe était utilisé contre des groupes des minorités dans le Xinjiang, au Myanmar et à Hong Kong.

BellTroX n’a pas pu être atteint pour commenter. Un porte-parole de Cobwebs a dit à Reuters que la compagnie s’appuyait sur des sources ouvertes et que ses produits « ne sont en aucune façon intrusifs ». Les autres entités nommées par Facebook n’ont pas répondu à nos demandes de commentaires.

Traduction CG pour l’Agence Média Palestine

Source : The Guardian

Retour haut de page