La régulation de l’industrie de la cybersécurité contre le cyberterrorisme

Il faut réguler l’industrie de la sécurité pour mettre un terme à la surveillance abusive des populations et des personnes et faire cesser les attaques contre les personnes. Ces pratiques enfreignent impunément la Convention Européenne des Droits de l’Homme au profit du cyberterrorisme.

Les grandes firmes de sécurité (Palantir, Google, IBM, Thales) détiennent un contrôle quasi-absolu de la plupart des médias et des milieux académiques et ont des investissements dans à peu près toutes les startup de technologies et les milieux de la recherche et de l’innovation, ce qui leur permet de contourner le cadre des lois européennes, notamment celui de la liberté de la presse (article 10 de la convention européenne).

targeted attacks

Espionnages et sabotages des rivaux et opposants

La surveillance des mouvements sociaux (Debaveye, 2015) et des indépendants et la mise en œuvre de campagnes d’attaques malveillantes, à travers l’usage de cookies espions implantés dans les logiciels commerciaux, contre les militants, les universitaires, les journalistes, les juristes et les sources indépendantes de nouvelles est devenu un enjeu majeur de l’open data et de la cybersécurité. Afin de garantir la sécurité des utilisateurs et de réguler les pratiques de l’industrie de la cybersécurité et de l’espionnage, il est urgent de dresser un état des lieux.

Ces sociétés procèdent à des attaques ciblées sur les boites de messagerie de leur cible avec des mails de phishing qui proposent des mises à jour de plugin pour des services comme Adobe PDF et Flash ou des logiciels de détection implantant des traceurs capables de retranscrire les activités de connexion des utilisateurs sur une période d’un an ou plus. Ces logiciels espions produits par des firmes étrangères (PSS, Israél; Cyberbit, etc) sont distribués aux agences de renseignement et aux forces de l’ordre.

Les usages abusifs des technologiques de surveillance par les gouvernements autoritaires (en Ethiopie, au Bahrain, par exemple) reposent sur l’espionnage et le sabotage de leurs ennemis politiques et des sources d’information nuisant à leurs intérêts personnels. Les outils de traçage donnent accès aux impressions d’écran, microphones, mots de passe, fichiers document, conversations voix, systèmes de fichier, claviers, urls consultés, boites de messagerie, caméras, IP et localisations wifi.

Surveillance de la conversation publique

Parallèlement, ces firmes emploient des campagnes de censure et de répression qui instrumentalisent les réseaux sociaux de la conversation publique par la production de fake news et de nouvelles partisanes, alimentant le populisme et les idéologies extrémistes avec la propagation de diffamations et de rumeurs. Ces actes criminels visent à décrédibiliser leurs adversaires et à anéantir leur réputation en ligne.

Ces techniques et technologies ont d’abord été expérimentées contre les groupes de militants du Printemps Arabe (Tunisie, Syrie) et, dans nos sociétés occidentales, contre les militants du Printemps érable au Québec (connu aussi comme le ‘Red Square protest‘) (Debaveye, 2012a, 2012b2015). Elles sont aujourd’hui commercialisées parfaitement légalement à des acteurs institutionnels (Finfisher).

Vol des identités et imitations

Les organisations de crime organisé des industries de la sécurité pratiquent impunément le vol d’identités en ligne et les imitations, en se faisant passer pour des personnes ou des organisations reconnues, mimant des campagnes de mouvements sociaux fondées sur des données dérobées et utilisant des adresses de messagerie et des protocoles provenant des identités de personnes spoliées (du type prénomnom@organisation.fr).

Les industries de la sécurité peuvent également employer des tactiques d’intimidation et de répression physiques en se faisant passer pour de faux militants lors de manifestations publiques (les ‘agents provocateurs’ adoptant les comportements de black blocs confère Debaveye, 2012a) dans le but de miner la crédibilité de leurs cibles ou de les pousser à la faute, à des voies de fait ou à des incivilités en les provoquant.

Elles se livrent aussi à des activités de sabotage contre le matériel de leurs cibles en attaquant leurs moyens de communication (attaques DDOS, ralentissement de la bande passante pour bloquer l’ouverture de pages web sur leur site web, cyber-harcèlement par l’usage de robots et de faux profils).

Conclusion

Le recours à la force et à des opérations de surveillance militaires contre des civils par les firmes de sécurité privées (comme La Guardia) observés par de nombreux collectifs et des organisations chargées de la protection des droits de l’homme (Amnesty, mouvements civiques et locaux) tend à se généraliser pour devenir la norme.

Il est nécessaire de réguler les industries de la sécurité si l’on veut éviter la dérive des réseaux du crime organisé et du cyberterrorisme en empêchant la multiplication des atteintes aux droits civiques et humains, dans nos sociétés comme ailleurs, par des enquêtes indépendantes.

 

 

Licence Creative Commons
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution – Pas d’Utilisation Commerciale – Partage dans les Mêmes Conditions 4.0 International.