Un large \u00e9ventail de logiciels espions hautement intrusifs et d\u2019autres produits de surveillance est import\u00e9 et d\u00e9ploy\u00e9 en Indon\u00e9sie, a d\u00e9clar\u00e9 ce 2 mai le Security Lab d\u2019Amnesty International, \u00e0 l\u2019occasion de la publication d\u2019un nouveau document d\u2019information en collaboration des partenaires du monde des m\u00e9dias \u2013 Haaretz, Inside Story, Tempo, le collectif de recherche WAV et Woz.<\/p>\n\n\n\n
Gr\u00e2ce \u00e0 des renseignements issus de sources ouvertes, dont des bases de donn\u00e9es commerciales et des cartographies de l\u2019infrastructure de logiciels espions, le Security Lab a d\u00e9couvert des \u00e9l\u00e9ments faisant \u00e9tat de la vente et du d\u00e9ploiement de logiciels espions hautement intrusifs et d\u2019autres technologies de surveillance aupr\u00e8s d\u2019entreprises et d\u2019organismes publics en Indon\u00e9sie entre 2017 et 2023.<\/p>\n\n\n\n
Parmi ces entit\u00e9s figurent la police nationale indon\u00e9sienne (Kepolisian Negara Republik Indonesia) et l\u2019Agence nationale d\u2019informatique et de chiffrement (Badan Siber dan Sandi Negara).<\/p>\n\n\n\n
\u00ab La vente et le transfert de logiciels espions hautement intrusifs et d\u2019autres technologies de surveillance en Indon\u00e9sie demeure un fait pr\u00e9occupant du point de vue des droits humains. Le commerce secret de logiciels espions se poursuit, alors que les droits \u00e0 la libert\u00e9 d\u2019expression, de r\u00e9union pacifique et d\u2019association sont d\u00e9j\u00e0 mis \u00e0 mal dans le pays \u00bb, a d\u00e9clar\u00e9 Jurre van Bergen, sp\u00e9cialiste des technologies \u00e0 Amnesty International.<\/p>\n\n\n\n
La vente et le transfert de ces logiciels espions et autres technologies de surveillance reposent sur un \u00e9cosyst\u00e8me obscur de fournisseurs, d\u2019interm\u00e9diaires et de revendeurs, qui s\u2019inscrivent dans des structures de propri\u00e9t\u00e9 complexes. <\/p>\n\n\n\n
Parmi les fournisseurs identifi\u00e9s, citons l\u2019entreprise Cyber Technologies SARL (li\u00e9e \u00e0 NSO Group), sise au Luxembourg, le consortium Intellexa, les soci\u00e9t\u00e9s Wintego Systems Ltd et Saito Tech (\u00e9galement connue sous le nom de Candiru), bas\u00e9es en Isra\u00ebl, et l\u2019entreprise de droit malaisien Raedarius M8 Sdn Bhd (en rapport avec FinFisher). L\u2019enqu\u00eate a \u00e9galement permis d\u2019identifier des interm\u00e9diaires et des revendeurs \u00e0 Singapour et en Indon\u00e9sie.<\/p>\n\n\n\n
Ces r\u00e9seaux d\u2019entreprises qui se caract\u00e9risent, d\u00e9lib\u00e9r\u00e9ment ou non, par leur manque de transparence et leurs contours flous, peuvent masquer la nature des exportations de produits de surveillance, compliquant tout contr\u00f4le ind\u00e9pendant de la part des autorit\u00e9s judiciaires, des l\u00e9gislateurs et des organisations de la soci\u00e9t\u00e9 civile, aux niveaux national et international. Du fait de ce caract\u00e8re obscur et de l\u2019absence syst\u00e9mique d\u2019informations sur les transferts de mat\u00e9riel de surveillance \u00e0 double usage (technologie ou bien pouvant servir \u00e0 des fins tant civiles que militaires), y compris sur les fournisseurs et les utilisateurs finaux et sur les demandes de licence d\u2019exportation d\u00e9pos\u00e9es, accept\u00e9es ou rejet\u00e9es, il est difficile d\u2019appliquer efficacement les m\u00e9canismes de r\u00e9glementation, quand ils existent.<\/p>\n\n\n\n
Le Security Lab a \u00e9galement identifi\u00e9 des noms de domaine malveillants et des infrastructures en r\u00e9seau li\u00e9es \u00e0 de multiples plateformes avanc\u00e9es de logiciels espions, manifestement destin\u00e9es \u00e0 cibler des personnes en Indon\u00e9sie. Les noms de domaine malveillants li\u00e9s \u00e0 Candiru et au logiciel espion Predator d\u2019Intellexa<\/a> sont calqu\u00e9s sur ceux des principaux m\u00e9dias nationaux et r\u00e9gionaux, des partis politiques d\u2019opposition et des entit\u00e9s recueillant des informations sur les droits humains. Ces sites d\u2019attaque sont g\u00e9n\u00e9ralement choisis par les op\u00e9rateurs de logiciels espions pour amener leurs cibles \u00e0 cliquer, ce qui expose l\u2019appareil concern\u00e9 \u00e0 un risque d\u2019infection.<\/p>\n\n\n\n Bien qu\u2019Amnesty International ait d\u00e9couvert de nouveaux \u00e9l\u00e9ments de preuve importants concernant les syst\u00e8mes de surveillance fournis \u00e0 l\u2019Indon\u00e9sie, cette \u00e9tude n\u2019a pas donn\u00e9 lieu \u00e0 une analyse criminalistique ni \u00e0 une tentative d\u2019identification pr\u00e9cise des personnes susceptibles d\u2019avoir \u00e9t\u00e9 cibl\u00e9es \u00e0 l\u2019aide de ces outils de surveillance.<\/p>\n\n\n\n Les logiciels espions hautement intrusifs sont con\u00e7us pour laisser aussi peu de traces que possible, d\u2019o\u00f9 la difficult\u00e9 immense de d\u00e9tecter les cas d\u2019utilisation abusive et ill\u00e9gale de ces outils. En revanche, l\u2019\u00e9tude est ax\u00e9e sur la vente et le transfert de plusieurs logiciels espions hautement intrusifs.<\/p>\n\n\n\n Le Security Lab d\u2019Amnesty International a sollicit\u00e9 des observations et des \u00e9claircissements sur les r\u00e9sultats de l\u2019enqu\u00eate aupr\u00e8s des 21 entit\u00e9s qui y sont mentionn\u00e9es.<\/p>\n\n\n\n Amnesty International a re\u00e7u des r\u00e9ponses donn\u00e9es par Candiru (Saito Tech dans l\u2019\u00e9tude) et NSO Group (au nom de Circles et Q Cyber Technologies SARL), ainsi que par les organismes d\u2019exportation que sont le Secr\u00e9tariat d\u2019\u00c9tat suisse \u00e0 l\u2019\u00e9conomie (SECO) et l\u2019Agence isra\u00e9lienne de contr\u00f4le des exportations dans le secteur de la d\u00e9fense (DECA), qui figurent dans le rapport du Security Lab intitul\u00e9 A web of surveillance: Unravelling a murky network of spyware and surveillance exports to Indonesia<\/em><\/a>. Candiru a r\u00e9pondu pour expliquer que l\u2019entreprise op\u00e8re dans le cadre de la Loi sur le contr\u00f4le des exportations 5766-2007 de l\u2019Agence isra\u00e9lienne de contr\u00f4le des exportations dans le secteur de la d\u00e9fense (DECA). Le NSO Group a r\u00e9pondu pour expliquer qu\u2019il \u00e9tait \u00e9troitement r\u00e9glement\u00e9 par les autorit\u00e9s de contr\u00f4le des exportations des pays depuis lesquels l\u2019entreprise exporte des produits.<\/p>\n\n\n\n L\u2019utilisation abusive des technologies de surveillance et le recours \u00e0 des technologies incompatibles avec les droits humains, comme les logiciels espions hautement intrusifs, ne sont que quelques-uns des moyens employ\u00e9s dans le monde entier pour r\u00e9duire l\u2019espace civique. Le nombre de ventes et de d\u00e9ploiements de logiciels espions hautement intrusifs qui ont \u00e9t\u00e9 recens\u00e9s en Indon\u00e9sie est particuli\u00e8rement pr\u00e9occupant, puisqu\u2019il t\u00e9moigne de l\u2019attaque que subissent actuellement dans ce pays les droits \u00e0 la libert\u00e9 d\u2019expression, de r\u00e9union pacifique et d\u2019association, le droit \u00e0 la s\u00e9curit\u00e9 personnelle et le droit de ne pas faire l\u2019objet d\u2019une d\u00e9tention arbitraire. <\/p>\n\n\n\n \u00ab Les d\u00e9fenseur\u00b7e\u00b7s des droits humains et les militant\u00b7e\u00b7s subissent une r\u00e9pression fr\u00e9quente sur Internet en Indon\u00e9sie. La Loi relative aux informations et transactions \u00e9lectroniques et d\u2019autres lois contenant des dispositions restrictives sont utilis\u00e9es pour poursuivre et intimider des d\u00e9fenseur\u00b7e\u00b7s des droits humains, des militant\u00b7e\u00b7s, des journalistes, des universitaires et d\u2019autres personnes. Le commerce obscur de logiciels espions en Indon\u00e9sie met \u00e0 disposition un nouvel outil d\u2019intimidation. Nous ne pouvons pas laisser cela se poursuivre \u00bb, a d\u00e9clar\u00e9 Carolina Rocha da Silva, responsable des op\u00e9rations au Security Lab d\u2019Amnesty International.<\/p>\n\n\n\n Bien que l\u2019Indon\u00e9sie ait ratifi\u00e9 le Pacte international relatif aux droits civils et politiques (PIDCP) et reconnaisse les droits \u00e0 la libert\u00e9 d\u2019expression, de r\u00e9union pacifique et d\u2019association, le droit \u00e0 la s\u00e9curit\u00e9 personnelle et le droit de ne pas faire l\u2019objet d\u2019une d\u00e9tention arbitraire, elle ne s\u2019est pas dot\u00e9e de lois qui encadrent sp\u00e9cifiquement l\u2019utilisation des logiciels espions et autres technologies de surveillance.<\/p>\n\n\n\nR\u00e9percussions du commerce de logiciels espions sur les droits humains<\/strong><\/strong><\/h2>\n\n\n\n