Piratage des gouvernements et piratage des gouvernements en Amérique latine : 2022 en revue

Piratage des gouvernements et piratage des gouvernements en Amérique latine : 2022 en revue

En 2022, des cyberattaques contre des bases de données et des systèmes gouvernementaux ont fait la une des journaux dans plusieurs pays d'Amérique latine. Ces attaques ont exposé les vulnérabilités des systèmes gouvernementaux, y compris parfois des vulnérabilités de base, comme l'incapacité à maintenir les logiciels à jour avec des correctifs critiques, et montré comment les attaques peuvent affecter les données, les services et l'infrastructure du gouvernement. D'autre part, ils ont également servi à faire la lumière sur les pratiques de surveillance arbitraires du gouvernement dissimulées à une surveillance appropriée.

Pour donner quelques exemples, des attaques de ransomwares ont affecté les services gouvernementaux à Quito, en Équateur ; visait le système judiciaire chilien et le Service national des consommateurs (Sernac) ; ainsi que des opérations impactées qui dépendent des plateformes numériques de l' autorité sanitaire colombienne (Invima) et de l'agence de surveillance des entreprises (Supersociedades). L'attaque la plus importante a probablement eu lieu au Costa Rica , perturbant les services gouvernementaux et conduisant le président Rodrigo Chaves à déclarer une urgence nationale.

Le groupe Conti, responsable du premier coup du Costa Rica en avril, a également accédé à deux boîtes e-mail appartenant à la Division du renseignement du ministère de l'Intérieur du Pérou (DIGIMIN), demandant une rançon afin de ne pas publier les informations obtenues. Le message de Conti indique qu'il n'y avait pas de cryptage des données dans le réseau de DIGIMIN et que presque tous les documents téléchargés par le groupe étaient classés secrets. Selon les médias analysant ce que Conti a finalement publié en ligne, DIGIMIN a surveillé – sous l'étiquette de « terrorisme » – des événements publics concernant des personnes disparues et des disparitions forcées, même lorsque des entités gouvernementales en étaient les organisateurs. La surveillance arbitraire exercée par l'État sur les défenseurs des droits humains, les partis politiques, les journalistes et les dirigeants de l'opposition a été davantage mise en lumière avec les « Guacamaya Leaks ».

#Guacamaya Leaks et #Ejército Espía

Guacamaya est le nom du groupe hacktiviste qui a divulgué en septembre environ 10 téraoctets de courriels provenant principalement d'institutions militaires au Chili, au Mexique, au Pérou, en Colombie et au Salvador. Ce n'était pas le premier tour de "Guacamaya Leaks", cependant.

Plus tôt en 2022, le groupe hacktiviste a divulgué des documents liés à des projets miniers au Guatemala et à des sociétés minières et pétrolières au Chili, en Équateur, en Colombie, au Brésil et au Venezuela. La fuite précédente a conduit à la série « Mining Secrets » de Forbidden Stories , qui faisait état d'abus alarmants commis par le conglomérat minier suisse Solway Group au Guatemala. En fouillant dans les documents de sa filiale locale, ils ont découvert comment les journalistes publiant sur la mine au Guatemala étaient « systématiquement profilés, surveillés et même suivis par des drones ». Enfin, Guacamaya a accédé aux courriels du bureau du procureur général de Colombie , les mettant à la disposition des journalistes et autres personnes engagées dans l'enquête sur les liens de l'institution avec le trafic de drogue, les groupes militaires et paramilitaires et les entreprises corrompues.

Dans ce dernier piratage publié pour la première fois en septembre, que Guacamaya a surnommé "Forces répressives", ils ont obtenu des e-mails des chefs d'état-major interarmées des forces armées chiliennes (EMLO), du Secrétariat de la défense nationale mexicaine (SEDENA), de l'armée péruvienne et du commandement conjoint des forces armées. Forces armées, le commandement général des forces militaires de Colombie et la police nationale civile et les forces armées d'El Salvador. Dans la plupart d'entre eux , le groupe hacktiviste a exploité les vulnérabilités de Proxy Shell dans les serveurs de messagerie Microsoft Exchange. Bien que Microsoft ait publié des mises à jour de sécurité en 2021, les serveurs attaqués n'avaient pas encore corrigé la vulnérabilité. Dans le cas mexicain , Zimbra était la plateforme de messagerie, et des audits avaient déjà averti le gouvernement de ses vulnérabilités en matière de cybersécurité.

Contrairement à l'attaque du groupe Conti, Guacamaya ne s'immisce pas dans les systèmes contre une rançon. Leur motivation déclarée est de faire la lumière sur les abus et les violations des droits afin que la société civile puisse réagir et tenir les gouvernements responsables. Comme le souligne Maria Paz Canales de Derechos Digitales , ces fuites sont souvent la seule source d'information significative accessible au public sur les pratiques arbitraires des forces armées et des agences de renseignement en Amérique latine. Les pays de la région manquent généralement de cadres juridiques solides et d'une infrastructure de contrôle efficace pour tenir les pouvoirs de surveillance et de répression du gouvernement responsables. D'autre part, les fuites peuvent révéler des informations sensibles (par exemple l'identité des personnes qui militent en interne contre les abus), exigeant une attention particulière de la part de ceux qui divulguent les données.

Les reportages des médias sur la dernière fuite de Guacamaya ont permis de découvrir différents cas de répression et de surveillance abusive. Au Chili, des rapports ont souligné que la marine a dépensé près de 700 millions de pesos en seulement six mois pour militariser la région de Biobío pendant l' état d'urgence déclaré pour étouffer le conflit avec les groupes autochtones mapuche. Les forces armées chiliennes ont également surveillé les organisations de la société civile et les politiciens élus par le biais des médias sociaux. De même, La Encerrona rapporte que les documents de l'armée péruvienne sur la surveillance des menaces contre l'État démocratique incluent des activités de partis et d'hommes politiques de gauche. Les organisations de la société civile, telles qu'Amnesty International, travaillant à proximité des communautés locales dans les zones minières sont également considérées comme des menaces. Au Mexique, des documents divulgués révèlent une influence militaire indue visant à entraver l'enquête sur la disparition forcée de 43 étudiants à Ayotzinapa. Et la BBC a souligné que des fichiers divulgués montrent une surveillance détaillée par les forces militaires des médias, des journalistes, des militants et des défenseurs des droits de l'homme. Selon la BBC, il existe des listes de journalistes classés comme « pour » et « contre » le gouvernement.

L'attention s'est tournée vers la SEDENA mexicaine dans l' enquête « Ejército Espía » . Dans un effort conjoint, les groupes de défense des droits numériques R3D, Article 19 México et Amérique centrale, SocialTIC et Citizen Lab ont recueilli des preuves qu'au moins deux journalistes et un défenseur des droits humains, travaillant sur des questions liées aux violations des droits humains par les forces armées, ont subi des attaques de Le logiciel malveillant Pegasus du groupe NSO entre 2019 et 2021. Les preuves étayent également les affirmations selon lesquelles SEDENA a acheté un système de surveillance à distance auprès d'un fournisseur privé qui est le représentant exclusif de Pegasus au Mexique.

De telles conclusions contredisent les multiples promesses du président Obrador selon lesquelles son gouvernement n'avait pas de contrats avec des sociétés de logiciels malveillants et n'utiliserait pas de systèmes d'espionnage contre les journalistes et les défenseurs des droits humains. Les organisations auteurs soulignent que l'armée n'a même pas le pouvoir légal d'intercepter les communications privées des civils. En fait, la loi mexicainene réglemente pas clairement et spécifiquement l'utilisation des logiciels malveillants, malgré les preuves de leur utilisation récurrente dans le pays.

Encore et encore : la propagation du piratage gouvernemental sans aucune garantie

Comme nous l'avons souligné , l'utilisation généralisée par les gouvernements de logiciels malveillants sans normes strictes de nécessité et de proportionnalité , de solides garanties de procédure régulière et des contrôles efficaces ont à plusieurs reprises montré des conséquences désastreuses et ont conduit à un appel croissant aux États pour qu'ils mettent fin à l'utilisation de logiciels malveillants en l'absence de garanties et de mécanismes solides assurant la protection des droits de l'homme. Bien que les initiatives réglementaires actuellement en place dans la région ne soient pas à la hauteur de cette tâche, l'utilisation gouvernementale de logiciels malveillants continue de croître.

Le groupe de défense des droits numériques IP.rec a souligné cette tendance au Brésil dans une enquête approfondie sur l'exploitation des vulnérabilités par le piratage gouvernemental des appareils numériques. Le rapport d'IP.rec inclut à la fois des logiciels d'accès à distance, comme Pegasus, et des outils médico-légaux pour appareils mobiles (MDFT), tels que Cellebrite, qui impliquent généralement un accès physique à l'appareil. La recherche a trouvé des contrats pour l'acquisition d'outils de piratage avec le ministère de la Défense et le ministère de la Justice, au niveau fédéral, et avec les forces de l'ordre dans tous les États brésiliens. Verint Systems figure comme le principal fournisseur d'outils d'accès à distance. La société israélienne ou ses filiales ont des contrats avec le ministère brésilien de la Défense et des entités gouvernementales dans des États comme São Paulo, Alagoas et Pará. Le rapport souligne que le gouverneur du Pará, Helder Barbalho, a utilisé l'outil Verint que la police civile a acquis pour espionner ceux qui enquêtaient sur un stratagème de corruption dans l'achat de respirateurs pendant la pandémie de Covid-19.

Le rapport d'IP.rec soulève des inquiétudes quant à l'application analogue d'autres mesures de surveillance légales, telles que la perquisition et la saisie et l'interception téléphonique, à l'utilisation d'outils de piratage gouvernementaux. Étant donné que la loi brésilienne n'a pas de réglementation spécifique sur la question, les forces de l'ordre s'appuient sur des interprétations larges de la loi actuelle pour utiliser des outils de piratage. Cependant, les exigences et les garanties des anciennes mesures de surveillance ne reflètent pas correctement le caractère intrusif des outils en jeu. Une discussion législative en cours visant à modifier le Code de procédure pénale brésilien vise prétendument à combler cette lacune. Des versions du projet de loi cherchaient à autoriser l'accès des forces de l'ordre aux preuves électroniques par le biais d'un accès forcé et d'une collecte à distance . L'EFF a travaillé en étroite collaboration avec la coalition brésilienne d'organisations de défense des droits numériques, Coalizão Direitos na Rede , pour souligner les défauts du projet de loi . Le texte actuel du projet de loi a supprimé la disposition autorisant la collecte à distance de données, mais la règle de l'accès forcé demeure et manque de garanties solides.

S'attaquer aux vulnérabilités tout en garantissant l'expression, la confidentialité et la sécurité

Les vulnérabilités de sécurité des systèmes et appareils électroniques ouvrent une dangereuse porte dérobée à nos communications, mouvements et vies quotidiens, ainsi qu'aux systèmes et bases de données critiques des gouvernements et des entreprises. Les préoccupations des gouvernements en matière de cybersécurité devraient se traduire par des incitations et des actions pour corriger les vulnérabilités de sécurité, au lieu de les exploiter et de les perpétuer. Ils devraient se traduire par l'adoption et la prise en charge d'un cryptage fort dans les systèmes et les appareils, au lieu de tentatives répétées de saper les fondements ducryptage . Les préoccupations gouvernementales en matière de cybersécurité devraient également impliquer la protection des chercheurs en sécurité et des développeurs de logiciels sécurisés, au lieu de les persécuter sur la base de vagues lois sur la cybercriminalité ou d'interprétations problématiques des dispositions relatives à la cybercriminalité. Enfin, elles ne doivent pas aboutir à des politiques qui s'opposent à la vie privée et à la sécurité, mais à des mesures qui reconnaissent que les deux droits sont intrinsèquement liés.

Les pratiques arbitraires de surveillance gouvernementale mettent en danger la sécurité et le bien-être des personnes. L' application des normes des droits de l'homme à la surveillance gouvernementale est un défi persistant dans la région. Une affaire portée devant la Cour interaméricaine des droits de l'homme (Cour IA) cette année, où l' EFF et des organisations partenaires ont déposé un amicus, offre une occasion cruciale pour la Cour IA de s'assurer que les normes interaméricaines des droits de l'homme servent de contrôle pouvoirs de surveillance à l'ère du numérique. L'EFF continuera de suivre l'évolution de la situation et de plaider pour que la vie privée, l'expression, la sécurité et la protection des droits de l'homme aillent toujours de pair.


Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2022/12/hacking-governments-and-government-hacking-latin-america-2022-year-review le Sun, 25 Dec 2022 17:59:51 +0000.