Les téléphones portables des journalistes permettent aux autorités de les localiser et de démasquer leurs sources. Par Danny O’Brien
L’espion dans votre poche: le risque du journalisme mobile
Par Danny O’Brien
Quelques jours après la mort de Marie Colvin et Rémi Ochlik dans la ville syrienne de Homs en 2012, les confrères journalistes dans les zones de conflit ont spéculé sur le rôle éventuel du téléphone mobile dans ce drame. Colvin et Ochlik travaillaient pour une médiathèque qui était précisément ciblée par les roquettes. Les assassins les avaient – ils pourchassés à l’aide des signaux des mêmes téléphones que les journalistes ont utilisés lors leur reportage?
Les risques qui accompagnent les reportages dans une zone de guerre sont connus, mais les dangers apparents que comporte l’utilisation d’un dispositif de télécommunications fréquent chez les correspondants étrangers sont devenus une nouvelle incertitude. Les journalistes expérimentés se sont efforcés de comprendre ce que cette technologie pourrait révéler sur leurs positions et de saisir la possibilité – évoquée par le journaliste de Libération Jean-Pierre Perrin, qui était avec Colvin à Homs – que Colvin et Ochlik avaient été pris à partie par l’armée syrienne précisément pour leur capacité à diffuser des informations à partir d’une ville où des liaisons de communication avait été délibérément coupées. Les téléphones des journalistes étaient utilisés pour diffuser les atrocités qui se déroulent dans la ville, et pour cette raison, les autorités pourraient chercher à suivre la trace de ces transmissions et à les éliminer à la source.
Même si tous les journalistes ne sont pas des correspondants de guerre internationaux, tous les téléphones cellulaires ne sont pas fiables. Les téléphones mobiles, et particulièrement les smartphones possédant des fonctions Internet, sont utilisés par les journalistes du monde entier pour collecter et diffuser les informations. Cependant, les téléphones mobiles peuvent aussi aider à localiser et à intimider les journalistes, ainsi qu’à révéler les sources confidentielles. Grâce aux systèmes cellulaires, il est possible de localiser avec précision les utilisateurs individuels dans un rayon de quelques mètres, et les opérateurs de téléphonie mobile enregistrent des mois, voire des années, de mouvements et d’appels individuels. Les compagnies de téléphonie occidentales telles que TeliaSonera et France Telecom ont été accusées par les journalistes d’investigation dans leurs pays d’origine de complicité dans la localisation des journalistes, alors que les outils d’espionnage mobile conçus pour le maintien de l’ordre dans les pays occidentaux ont, selon les experts en sécurité informatique travaillant avec les activistes des droits de l’homme, été exportés pour être utilisés contre les journalistes travaillant dans les régimes répressifs en Ethiopie, au Bahreïn et ailleurs.
« Les journalistes doivent comprendre que les communications téléphoniques mobiles ne sont pas pour l’essentiel protégées et les exposent à des risques qui ne sont pas faciles à détecter ou à surmonter », a déclaré Katrin Verclas de la National Democratic Institute. Les activistes comme Verclas ont travaillé sur des sites comme SaferMobile.org, qui donnent des conseils de base pour la protection des journalistes. Le CPJ a récemment publié un guide de sécurité qui traite de l’utilisation du téléphone mobile et des technologies du numérique mobile. Mais les régimes répressifs n’ont pas besoin de suivre tous les trucs de l’informatique mobile; ils se contentent de mettre un budget de côté et de démasquer les droits privés pour obtenir tous les pouvoirs dont ils ont besoin. A moins que les régulateurs, les entreprises spécialisées dans la technologie et le personnel des médias n’intensifient leur propre systèmes de défense de la liberté de la presse, le téléphone cellulaire deviendra l’outil le plus perfide pour le journaliste.
Pour examiner le centre de la révolution de la téléphonie mobile, plutôt que d’aller dans les laboratoires de Silicon Valley ou les usines d’iPhone en Chine, il faut aller dans la capitale kenyane, Nairobi. La stabilité économique et politique du Kenya s’est installée avec son infrastructure de téléphonie mobile. D’après la Banque Mondiale, en 2011 le secteur de l’information et des télécommunications du pays contribuait à près d’un point de pourcentage à la croissance économique, tirée par la forme de téléphonie mobile qui est passée d’une fraction d’un pourcent de la population en 1999 à plus de 64 pourcent en 2011. Le nombre d’utilisateurs de téléphones cellulaires a rapidement dépassé celui des utilisateurs du traditionnel système de téléphonie et de connexion Internet à fil, et le pays est aujourd’hui considéré comme un modèle et un terrain d’essai pour l’avenir du mobile à travers le monde. Le Kenya abrite le M-PESA, le premier système bancaire et de paiement par téléphone mobile de large couverture qui permet aux citoyens kenyans d’utiliser leurs téléphones mobiles pour disposer de l’équivalent d’un solde en espèces et sécuriser les achats immédiats d’une large gamme de produits tels que l’électricité et les biens et services le long des routes. Il abrite aussi l’Ushahidi, un système de cartographie des catastrophes d’abord conçu pour permettre aux utilisateurs de téléphone mobile d’enregistrer les cas de violence lors des élections en 2007.
Nairobi, qui a une population avoisinant 3,4 millions, abrite aussi la plus grande communauté de journalistes exilés de l’Afrique de l’Est. Ayant fui l’oppression au Rwanda, en Erythrée, en Somalie ou en Ethiopie, ces journalistes comptent sur les téléphones mobiles bon marché de Nairobi pour garder le contact avec leurs familles et les amis dans la diaspora et au pays. Les téléphones sont aussi des outils pour transmettre des menaces de mort. Alors que j’étais assis dans un restaurant à Nairobi discutant de la sécurité numérique avec un journaliste éthiopien exilé – un parmi plus de 50 contraints à l’exil pendant la dernière décennie suite à leur journalisme – ce dernier me révéla les textos qu’il reçoit lui disant que l’expéditeur sait le localiser et qu’il va l’attraper. « S’ils peuvent trouver mon numéro de téléphone, pourront-ils me retrouver? », demanda-t-il.
La réponse pour les journalistes en situation dangereuse n’est pas rassurante. Chaque téléphone mobile est un dispositif de repérage, comme l’ont fait remarquer Peter Maass et Megha Rajagopalan, tous deux journalistes spécialistes de la confidentialité numérique au ProPublica, une salle de nouvelles indépendantes spécialisée en journalisme d’enquête d’intérêt public. Les téléphones signalent leur position approximative à l’opérateur local de téléphonie cellulaire afin de savoir la station cellulaire à utiliser. La précision de la cartographie de la localisation est fonction de la proximité des stations cellulaires; dans une ville peuplée comme Nairobi, cela peut se réduire à quelques pieds. Beaucoup de journalistes exilés dans cette ville vivotent dans les bidonvilles de Kibera et Mathare. Alors que ces bidonvilles ne disposent que de peu d’égouts, d’éclairage urbain ou d’électricité, les stations cellulaires s’élèvent au-dessus des cabanes.
Les données de localisation sont conservées par les opérateurs de téléphonie mobile; ce n’est pas parce que quelqu’un a votre numéro de téléphone que cette personne peut aussi vous localiser. Mais, comme dans la plupart des pays, les compagnies de téléphonie mobile au Kenya ont des relations étroites avec l’Etat. Ces compagnies dépendent des contrats négociés à l’échelle nationale pour les spectres radio, et sont souvent les descendants des monopoles d’Etat. (L’Etat kenyan était actionnaire majoritaire à Safaricom, le plus grand opérateur de téléphonie du pays, jusqu’à son offre publique initiale en 2008; aujourd’hui, l’Etat est actionnaire à 35 pourcent.)
Il est invraisemblable que les gouvernements des autres pays, particulièrement ceux qui ne sont pas en bons termes avec le Kenya, mettent la main sur ces données de repérage. Mais dans un pays, que ce soit le Kenya ou les Etats-Unis d’Amérique, l’utilisation de telles données n’est étonnamment pas réglementée. Un agent des forces de police à Nairobi qui a requis l’anonymat a déclaré au CPJ que les informations des téléphones cellulaires sont régulièrement utilisées pour repérer et coincer les criminels de rue. En juillet 2012, le membre du Congrès américain Edward Markey a publié des informations indiquant que les opérateurs de téléphone portable aux Etats-Unis d’Amérique ont répondu à plus de 1,3 millions de demandes de renseignements sur les abonnés en 2011. Ces demandes émanaient des agences du maintien de l’ordre et beaucoup étaient formulées sans assignation ni mandat.
En Ethiopie, tout le réseau des télécommunications, y compris le mobile et l’Internet, est directement contrôlé par l’Etat à travers le monopole d’Ethio Telecom. Ethio Telecom est gérée par France Télécom, qui est tenue de se conformer aux ordres de l’Etat éthiopien, y compris le blocage de douzaines de sites d’informations (dont le site web du CPJ). En mai 2012, le système mobile à large bande du pays a introduit un système d’inspection approfondie des paquets dans le but d’identifier et de bloquer les utilisateurs de Tor, l’outil contre la censure. Le Directeur Général d’Ethio Telecom à l’époque, Jean-Michel Latute, a déclaré au journal La Croix que la décision avait été prise par le ministère de la communication, mais l’inspection approfondie des paquets était néanmoins « un outil très utile » pour la compagnie.
France Telecom n’est pas la seule compagnie occidentale de téléphonie mobile à être impliquée dans la censure et le contrôle des journalistes. En avril 2012, l’émission de la TV d’investigation suédoise « Uppdrag Granskning » a fourni les détails sur la manière dont les appels, les textos et les informations de position d’Agil Khalil, reporter du journal azerbaidjanais Azadlyg, ont été relayés par Azercell, une filiale de la compagnie suédoise TeliaSonera, aux services de sécurité locaux en 2008. Khalil a été agressé plusieurs fois pendant la période de surveillance. En réponse au documentaire, TeliaSonera a déclaré qu’il réviserait son processus de conformité, « engagerait le dialogue » avec les autorités azerbaidjanaises, et assurerait une formation sur les droits de l’homme à l’endroit des employés.
En 2010, la société finlandaise Nokia Siemens Networks a fait l’objet de poursuites judiciaires entreprises par la famille du journaliste iranien Issa Saharkhiz, prétendant que ladite société avait fourni le matériel utilisé pour localiser le journaliste via son téléphone portable après qu’il partit se cacher. Alors qu’il était en fuite, Saharkhiz a déclaré à Der Spiegel, « Je n’allume mon téléphone portable qu’une heure par jour, parce qu’ils peuvent me localiser et m’arrêter ». Quelques heures après cette conversation, Saharkhiz fut capturé, il eut les côtes et les poignets cassés avant d’être transféré à la prison d’Evin, où il séjourna jusqu’en fin 2012. Dans ses déclarations publiques, Nokia affirme que, « cette capacité [à localiser et de surveiller les téléphones portables] est devenue une constante devant l’insistance des Etats-Unis d’Amérique et les nations européennes … Il n’est pas réaliste, comme le demandent les poursuites entreprises par les Saharkhiz, d’exiger que les systèmes de communication sans fil basé sur des normes technologiques mondiales soit commercialisés sans cette fonction ». La poursuite judiciaire a été retirée de façon volontaire par la famille après qu’un tribunal américain a estimé que la responsabilité d’une entreprise ne peut être engagée en vertu de l’Alien Tort Act, dont dépend cette affaire. Néanmoins, Nokia Siemens Networks s’est dessaisie de son établissement de centre de suivi, et déclare qu’ « à l’exception de certains liens techniques contractuels, elle n’a plus aucune implication là-dessus ».
Même si les téléphones mobiles possèdent une fonction incorporée leur permettant de localiser un journaliste, ils peuvent même être fatals en portant atteinte à la vie privée des journalistes et leurs sources lorsqu’ils sont équipés d’un logiciel malveillant.
Dans les premiers mois de 2012, des activistes bahreïniens ont affirmé avoir reçu par courriel des pièces jointes non sollicitées, qui auraient été envoyées par Melissa Chan, journaliste d’Al-Jazeera. Les faux messages contenaient des logiciels malveillants destinés à prendre le relais des ordinateurs de bureaux des activistes et de communiquer au serveur central à Bahreïn. Ce type d’attaque sur les journalistes est de plus en plus fréquent; Chan elle-même a régulièrement été la cible de tels logiciels malveillants lors de ses reportages en Chine. Les experts en sécurité informatique Bill Marczak et Morgan Marquis-Boire ont découvert que ce logiciel malveillant était le produit d’un programme appelé FinFisher – un logiciel commercial fabriqué par le Groupe Gamma établi au Royaume-Uni, soi-disant pour les agences du maintien de l’ordre. Ce fait a été remarqué parce que le maliciel destiné aux journalistes et à leurs sources est généralement fait à partir des logiciels conçus par les fraudeurs plutôt que d’être codé sur mesure pour le gouvernement.
Les échantillons obtenus par la suite par les mêmes chercheurs montrent que des variantes de FinFisher, telles que FinSpy, étaient destinés non pas aux ordinateurs de bureau mais plutôt aux iPhone, Androïde, BlackBerry et aux téléphones mobiles Nokia. Le maliciel est diversement capable de retransmettre des messages textes, d’enregistrer des appels téléphoniques, d’extraire les détails d’un carnet d’adresse, de localiser par GPS et même d’appeler silencieusement un téléphone portable et de transmettre les conversations dans le voisinage. Marczak et Marquis-Boire ont aussi découvert des serveurs conçus pour recevoir les produits FinFisher non seulement au Bahreïn, mais aussi au Brunei, en Ethiopie, au Turkménistan et aux Emirats arabes Unis. Gamma a nié en avoir vendu à ces pays et a laissé entendre que le logiciel pourrait être des copies piratées.
Si les gouvernements ont accès à leurs infrastructures de télécommunications, pourquoi s’abaisseraient-ils à installer des logiciels malveillants osur le téléphone des journalistes? Une possibilité suggérée par Marczak, est de contourner les protections que les activistes et les sources pourraient déjà utiliser. « Lorsqu’un journaliste envoie des courriels, messages, etc., à partir de son téléphone, ces informations sont cryptées sur le réseau entre son téléphone et les serveurs. Lorsqu’en tant que gouvernement vous souhaitez lire ces informations, vous devez y accéder quelque part où elles ne sont pas cryptées. Ainsi les options pratiques consisteraient à disposer d’une assignation ou d’un mandat pour le fournisseur d’e-mail (par exemple, Gmail, Yahoo Mail), ou les lire … sur le téléphone du journaliste. FinSpy vous permet d’effectuer cette dernière option », a dit Marczak. Les autres avantages comprennent entre autres la capacité d’espionner les communications qui se passent en dehors du pays. Les journalistes exilés ou les dissidents, par exemple, pourraient être localisés aussi facilement que les journalistes locaux.
Les journalistes faisant l’objet de menaces numériques en ligne sont maintenant habitués à se défendre avec les outils anti-virus et à crypter leurs disques durs et les autres communications. Cependant, les smartphones mobiles ne sont pas conçus pour autoriser le même degré de configurabilité – comparés au PC ou au Mac, leur modèle est protégé contre tout tripatouillage par l’utilisateur et ouvert au contrôle du fabricant et du fournisseur de réseau. Les auteurs de cette technologie soutiennent, avec quelque justification, que le verrouillage renforce la sécurité pour l’utilisateur du téléphone portable. Mais pour un journaliste cohabitant avec les risques sécuritaires, une absence de contrôle pareille peut empirer les choses. Les gouvernements peuvent installer des logiciels malveillants comme FinSpy, sans pour autant que les utilisateurs ne le détectent ou le suppriment.
Même les mesures de protection prises par les compagnies peuvent être l’objet d’abus par les pirates. En août 2012, Mat Honan, journaliste du magazine Wired, était la cible d’un pirate qui a eu accès à ses comptes en ligne, y compris son ouverture de session sur Apple iCloud. Grace aux ouvertures de session en ligne le pirate a pu prendre le relais sur le fil Twitter d’un site d’informations; le compte Apple a autorisé le pirate à mettre son iPhone hors circuit et le nettoyer à distance.
La raison de la vulnérabilité du téléphone de Honan était le lien étroit avec chaque iPhone – une fonction qui permet à la compagnie de retrouver les téléphones perdus, d’éteindre les appareils volés et de mettre à jour le système d’exploitation de l’iPhone. Les fournisseurs de services de téléphonie détiennent un pouvoir similaire, généralement pour la bonne cause, mais sans droit de veto par l’utilisateur final. « J’ai vraiment peur de la sécurité du téléphone portable aujourd’hui plus que je ne l’ai été il y a deux mois auparavant. En tant que journalistes, nos informations constituent notre ressource la plus précieuse. Et alors que je peux crypter les dossiers sur mon ordinateur et les transférer sur une clé USB que je peux garder sous clé dans un coffre, je ne peux pas faire autant avec mon téléphone », a affirmé Honan au CPJ l’automne dernier.
Les compagnies et les gouvernements peuvent affirmer que la coopération pour l’échange d’informations confidentielles sur les abonnés de téléphonie mobile est nécessaire pour l’application de la loi. Cependant, le service public confidentiel et sensible assuré par les journalistes a, jusqu’à présent, été protégé par les procédures de décisions judiciaires et de mandats, du moins dans les pays respectueux de l’État de droit.
Malheureusement, les lois réglementant la publication des informations des compagnies téléphoniques restent à actualiser afin de tenir compte des dépôts centraux de sources d’information les plus larges collectées sur les utilisateurs. La loi régissant la transmission de ces informations à des tiers aux Etats-Unis d’Amérique est l’Electronic Communications Privacy Act. Les textes ont été écrits en 1996, à l’époque où les compagnies de téléphone pouvaient fournir des enregistrements d’appels ou des écoutes électroniques.
« Elle n’était simplement pas écrite pour l’ère du mobile », a déclaré Kevin Bankston, avocat-conseil au Center for Democracy & Technology, un groupe de défense des internautes établi à Washington. Il affirme que les autorités profitent des ambiguïtés de la loi en forçant pour un accès plus facile aux informations. Les normes de protection au sein de la loi sont très contestées, et l’application de la loi soutient avec logique que les normes minimales soient utilisées », a déclaré Bankston. Cela signifie que l’on peut obtenir les données de localisation sans mandat aux Etats-Unis d’Amérique parce que l’application de la loi demande qu’elle soit traitée de la même façon que les données de facturation. Aux Etats-Unis d’Amérique, les fournisseurs de téléphonie mobile sont souvent priés de fournir des données de masse – des « dépotoirs » de stations cellulaires sur les abonnés qui étaient à proximité d’une station pendant une période donnée. Ce qui ramasserait les contacts des journalistes lors d’une émeute ou une catastrophe aussi efficacement qu’elles auraient fait des informations sur le suspect d’un crime, mais les services de sécurité prétendent que de telles données ne sont pas protégées par la loi et dans l’ensemble, les compagnies de télécom ne contestent pas ces demandes. Les autres pays ont largement suivi l’exemple des Etats-Unis d’Amérique dans ces critères.
Les experts du mobile affirment que le téléphone portable n’a pas besoin d’être fabriqué pour servir d’appareil d’espionnage, même lorsqu’il est utilisé par les régimes répressifs. Eric King est responsable de la recherche à Privacy International, un organisme de pression établi au Royaume-Uni. Son groupe a avec succès exercé des pressions sur le gouvernement britannique pour limiter l’exportation des outils de FinFisher dans les pays du Moyen-Orient où ils sont susceptibles d’être utilisés contre les journalistes et les dissidents. Il affirme que les mêmes normes techniques occidentales – telles que celles développées par l’Institut Européen des Normes de Télécommunications (ETSI) – qui a déjà intégré les fonctions de surveillance, pourraient également intégrer un dispositif de protection et des restrictions contre tout usage abusif de ces fonctions.
« Pourquoi les normes ETSI ne peuvent-elles pas mettre des limites explicites sur le nombre d’interceptions simultanées? Les fournisseurs ne se seraient conformés aux normes ETSI que si [leur équipement réseau] ne peut intercepter plus d’un certain pourcentage d’appels », avait laissé entendre King. L’autre possibilité consisterait à ce que ces fonctions puissent créer des enregistrements infalsifiables en cas d’utilisation du dispositif de surveillance d’un réseau de téléphonie mobile. Ce qui rendrait difficile la falsification des preuves téléphoniques contre les journalistes et laisserait des preuves permanentes d’une telle surveillance (et de son auteur) disponible pour les investigations éventuelles menées par les journalistes ou une juridiction indépendante.
Le logiciel d’utilisateur pourrait s’appliquer aussi. Mozilla, le créateur sans but lucratif du navigateur Firefox, affirme être entrain de mettre au point un téléphone portable protégeant la vie privée pour concurrencer les systèmes d’exploitation existants de l’Androïde et d’Apple. Phil Zimmermann, l’auteur du programme de cryptage définitif des ordinateurs de bureau, Pretty Good Privacy, a récemment lancé un nouveau service dont il dit qu’il protège les appels sur téléphone mobile contre les interceptions. D’autres outils comme TextSecure de Whisper Systems, offrent les mêmes protections pour les messages textes, à condition que les deux interlocuteurs utilisent le même outil.
Pour l’instant, alors que les journalistes prennent des dispositions pour se protéger ainsi que leurs sources, ils sont cependant limités par la nature de leurs téléphones portables. Lors d’un panel organisé en mai, le journaliste d’investigation Matthew Cole, qui travaille sur les questions de sécurité nationale et du renseignement américains, a démontré comment il procède à l’aide d’un protocole détaillé qu’il a appris de l’expert en sécurité numérique Chris Soghoian. Cole utilise deux téléphones portables qu’il a achetés anonymement; il ne les a jamais utilisés simultanément; l’un des téléphones a toujours la batterie retirée pour éviter qu’il soit accidentellement activé et pour s’assurer de ne pas établir de connexion entre les deux numéros.
Lorsque j’ai mentionné ce protocole à un autre journaliste, Amber Lyon, qui couvrait des dossiers similaires, elle m’a montré son nouvel iPhone avant de m’indiquer le défaut: la batterie ne pouvait pas s’enlever. A l’avenir, lorsque tout le journalisme sera du journalisme sur mobile, nous devons nous assurer de trouver le bouton marche/arrêt pour les pires défauts de sécurité de téléphonie mobile.
Danny O’Brien, coordonnateur du Plaidoyer pour l’Internet du CPJ basé à San Francisco, a travaillé à l’échelle mondiale comme journaliste et activiste spécialisé dans la technologie et les droits d’utilisation électronique.