Les gens du monde entier méritent le droit d'avoir une conversation privée. La confidentialité des communications est un droit de l'homme, une liberté civile et l'une des pièces maîtresses d'une société libre. Et bien que nous méritions tous la confidentialité de base des communications, les journalistes, les travailleurs des ONG et les militants des droits de l'homme et de la démocratie parmi nous sont particulièrement menacés, car ils sont souvent en désaccord avec des gouvernements puissants.
Il n'est donc pas surprenant que les gens du monde entier soient en colère d'apprendre qu'un logiciel de surveillance vendu par NSO Group aux gouvernements a été trouvé sur des téléphones portables du monde entier . Des milliers d'ONG, de militants des droits de l'homme et de la démocratie, ainsi que des employés du gouvernement et bien d'autres ont été pris pour cibles et espionnés. Nous sommes d'accord et nous sommes reconnaissants pour le travail accompli par Amnesty International, les innombrables journalistes de Forbidden Stories, ainsi que Citizen Lab, pour mettre en lumière cette terrible situation.
"Un engagement à donner à leurs propres citoyens une sécurité renforcée est le véritable test de l'engagement d'un pays envers la cybersécurité."
Comme beaucoup d'autres, l'EFF met en garde depuis des années contre le danger de l'utilisation abusive de puissants logiciels malveillants sponsorisés par l'État. Pourtant, les histoires ne cessent d'arriver sur des logiciels malveillants utilisés pour surveiller et suivre des journalistes et des défenseurs des droits humains qui sont ensuite assassinés, y compris les meurtres de Jamal Khashoggi ou de Cecilio Pineda-Birto . Pourtant, nous n'avons pas réussi à garantir une véritable responsabilité des gouvernements et des entreprises responsables.
Que peut-on faire pour empêcher cela? Comment créons-nous la responsabilité et assurons-nous la réparation? Il est encourageant de constater que l'Afrique du Sud et l' Allemagne ont récemment interdit la surveillance des communications par réseau, en partie parce qu'il n'y avait aucun moyen de protéger les communications privées essentielles des journalistes et les communications privilégiées des avocats. Nous méritons tous la vie privée, mais les avocats, les journalistes et les défenseurs des droits humains sont particulièrement exposés en raison de leurs relations souvent conflictuelles avec des gouvernements puissants. Bien sûr, la nature à double usage de la surveillance ciblée comme le malware que NSO vend est plus délicate, car elle est autorisée en vertu du droit des droits de l'homme lorsqu'elle est déployée dans des limites « nécessaires et proportionnées ». Mais cela ne veut pas dire que nous sommes impuissants. En fait, nous avons des suggestions sur la prévention et la responsabilisation.
Tout d'abord, et sans aucun doute, nous avons besoin d'une véritable sécurité des appareils. Bien que tous les logiciels puissent être bogués et que les logiciels malveillants profitent souvent de ces bogues, nous pouvons faire beaucoup mieux. Pour faire mieux, nous avons besoin du plein appui de nos gouvernements. Il est tout simplement honteux qu'en 2021, le gouvernement américain ainsi que de nombreux gouvernements étrangers dans les Cinq Yeux et ailleurs soient plus intéressés par leur propre accès facile et subreptice à nos appareils que par la sécurité réelle de nos appareils. Un engagement à donner à leurs propres citoyens une sécurité solide est le véritable test de l'engagement d'un pays envers la cybersécurité. Par cette mesure, les pays du monde, en particulier ceux qui se considèrent comme des leaders en matière de cybersécurité, échouent actuellement.
Il semble maintenant douloureusement évident que nous avons besoin d'une coopération internationale à l'appui d'un cryptage fort et de la sécurité des appareils. Les pays devraient se tenir mutuellement responsables lorsqu'ils font pression sur les fabricants d'appareils pour qu'ils abaissent ou dérobent nos appareils et lorsqu'ils accumulent des jours zéro et d'autres attaques plutôt que de s'assurer que ces failles de sécurité sont rapidement corrigées. Nous avons également besoin que les gouvernements se tiennent mutuellement à l'exigence « nécessaire et proportionnée » du droit international des droits de l'homme pour évaluer la surveillance et ces limites doivent s'appliquer que cette surveillance soit effectuée à des fins d'application de la loi ou de sécurité nationale. Et les États-Unis, l'UE et d'autres doivent exercer des pressions diplomatiques sur les pays où ces sociétés de logiciels espions immorales ont leur siège pour qu'ils cessent de vendre du matériel de piratage aux pays qui les utilisent pour commettre des violations des droits humains. À ce stade, bon nombre de ces sociétés – Cellebrite, NSO Group et Candiru/Saitu – ont leur siège en Israël et il est temps que les gouvernements et la société civile y concentrent leur attention.
Deuxièmement, nous pouvons créer une véritable responsabilité en mettant à jour les lois et les recours dans le monde entier pour garantir que les personnes touchées par les logiciels malveillants parrainés par l'État aient la possibilité d'intenter une action en justice ou d'obtenir un recours. Ceux qui ont été espionnés doivent pouvoir obtenir réparation auprès des gouvernements qui se livrent à l'espionnage illégal et des entreprises qui leur fournissent sciemment les outils spécifiques pour le faire. Les entreprises dont la réputation est ternie par ce malware méritent également de pouvoir l'arrêter. L'EFF a soutenu tous ces efforts, mais il en faut plus. Spécifiquement:
Nous avons soutenu le litige de WhatsApp contre NSO Group pour l'empêcher d'usurper WhatsApp en tant que stratégie pour infecter des victimes sans méfiance. Le neuvième circuit examine actuellement l'appel de NSO.
Nous avons demandé la responsabilité directe des gouvernements étrangers qui espionnent les Américains aux États-Unis dans Kidane c. Éthiopie . Nous avons fait valoir que les pays étrangers qui installent des logiciels malveillants sur les appareils américains devraient être tenus responsables, tout comme le gouvernement américain le serait s'il violait la Wiretap Act ou l'une des nombreuses autres lois applicables. Nous avons été bloqués par une lecture restreinte de la loi dans le DC Circuit – le tribunal a décidé à tort que le fait que le logiciel malveillant ait été envoyé depuis l'Éthiopie plutôt que depuis les États-Unis déclenchait l'immunité souveraine. Cette décision dangereuse devrait être corrigée par d'autres tribunaux ou le Congrès devrait préciser que les gouvernements étrangers n'ont pas de laissez-passer gratuit pour espionner les gens en Amérique. NSO Group affirme que les numéros de téléphone américains (qui commencent par +1) ne sont pas autorisés à être suivis par son service, mais les Américains peuvent avoir et ont des téléphones basés à l'étranger et, quoi qu'il en soit, tout le monde dans le monde mérite des droits de l'homme et une réparation. Les pays du monde entier devraient s'assurer que leurs lois couvrent les attaques de logiciels malveillants parrainées par l'État qui se produisent dans leur juridiction.
Nous avons également soutenu ceux qui demandent directement des comptes aux entreprises, y compris la minorité religieuse chinoise qui a été ciblée à l'aide d'une partie spécialement construite du grand pare-feu de Chine créé par le géant américain de la technologie Cisco.
"La vérité est que trop de pays démocratiques ou à tendance démocratique facilitent la propagation de ce malware parce qu'ils veulent pouvoir l'utiliser contre leurs propres ennemis."
Troisièmement, nous devons augmenter la pression sur ces entreprises pour s'assurer qu'elles ne vendent pas à des régimes répressifs et continuer à nommer et humilier ceux qui le font. EFF Connaissez votre client cadre est un bon point de départ, tout comme le projet d'orientation du département d'État (qui n'a apparemment jamais été finalisé). Et ces promesses doivent avoir de vraies dents. Apparemment, nous avions raison en 2019 que l'annonce inexécutable du groupe NSO selon laquelle il se tenait aux «normes les plus élevées en matière d'éthique commerciale» était en grande partie un mouvement de relations publiques édenté. Pourtant, alors que NSO est à juste titre sur la sellette maintenant, ils ne sont pas le seul acteur sur ce marché immoral. Les entreprises qui vendent des équipements dangereux de toutes sortes doivent prendre des mesures pour comprendre et limiter les abus et ces surveillances. Les outils malveillants utilisés par les gouvernements ne sont pas différents.
Quatrièmement, nous soutenons l'ancien rapporteur spécial des Nations Unies pour la liberté d'expression, David Kaye, dans son appel à un moratoire sur l'utilisation gouvernementale de ces technologies malveillantes. Bien qu'il s'agisse d'un long terme, nous convenons que la longue histoire d'abus et la liste croissante des exécutions extrajudiciaires de journalistes et de défenseurs des droits humains qui en résultent, ainsi que d'autres violations des droits humains, justifient un moratoire complet.
Ce ne sont là que le début de solutions possibles et de stratégies de responsabilisation. D'autres approches peuvent également être raisonnables, mais chacune doit reconnaître que, au moins actuellement, les communautés du renseignement et de l'application de la loi de nombreux pays ne définissent pas la « cybersécurité » pour inclure réellement la protection de nous, et encore moins les journalistes, les ONG et les militants qui font le travail risqué pour nous tenir informés et protéger nos droits. Nous devons également comprendre que si elles ne sont pas faites avec soin, des réponses réglementaires telles que le déclenchement de nouvelles restrictions à l'exportation américaines pourraient entraîner une sécurité moindre pour le reste d'entre nous sans vraiment résoudre le problème. Le groupe NSO aurait pu vendre au régime saoudien avec la permission et l'encouragement du gouvernement israélien dans le cadre du régime d'exportation de ce pays. La vérité est que trop de pays démocratiques ou à tendance démocratique facilitent la propagation de ce malware parce qu'ils veulent pouvoir l'utiliser contre leurs propres ennemis.
Jusqu'à ce que les gouvernements du monde entier se retirent et soutiennent réellement la sécurité pour nous tous, y compris la responsabilité et la réparation pour les victimes, ces outrages continueront. Les gouvernements doivent reconnaître que l'hostilité des services de renseignement et des forces de l'ordre à l'égard de la sécurité des appareils est dangereuse pour leurs propres citoyens, car un appareil ne peut pas dire si le logiciel malveillant qui l'infecte provient des bons ou des méchants. Ce fait ne va tout simplement pas disparaître.
Nous devons avoir une sécurité solide au départ et une responsabilité solide après coup si nous voulons arriver à un monde où nous pouvons tous profiter de la sécurité des communications. Ce n'est qu'alors que nos journalistes, défenseurs des droits humains et ONG pourront faire leur travail sans craindre d'être traqués, surveillés et potentiellement assassinés simplement parce qu'ils utilisent un appareil mobile.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2021/07/nso-group-leak-shows-need-real-device-security-accountability-and-redress-those le Tue, 20 Jul 2021 19:11:02 +0000.