Jonathan Rozen/Chercheur principal pour l’Afrique au CPJ
Hamza Idris, rédacteur en chef du journal nigériane Daily Trust, se trouvait au bureau central du journal le 6 janvier lorsque les militaires ont arrivé qui le cherchaient. Des soldats armés d’AK47 circulaient entre les bureaux de la rédaction en martelant son nom, a-t-il déclaré au CPJ. Il s’agissait du deuxième raid de la journée dans les locaux du journal ; le premier a eu lieu au bureau basé dans la ville de Maiduguri, située au nord-est, où Idris avait travaillé pendant des années.
Les soldats ne savaient pas à quoi ressemblait Idris et ses collègues ont choisi de ne pas le désigner, a-t-il déclaré. N’ayant pas été en mesure de trouver leur cible, ils ont ordonné à tout le monde d’évacuer et ont saisi 24 ordinateurs du journal. Idris est simplement sorti en file indienne avec tout le monde. Cependant, à Maiduguri, les militaires ont arrêté Uthman Abubakar, le rédacteur en chef de la région nord-est du Daily Trust, avec ses deux téléphones et son ordinateur, a rapporté le CPJ à ce moment-là. Il a été détenu pendant deux jours, interrogé sur ses sources, concernant un reportage écrit avec Idris sur une opération militaire dans la région, puis a été libéré sans inculpation.
« Les militaires ont emportés les appareils dans leur salle d’informatique judiciaire », a déclaré Abubakar au CPJ. « Ils ont effectué une recherche investigation informatique. »
Les raids militaires au Daily Trust sont à l’image de la tendance mondiale des forces de l’ordre à saisir les téléphones mobiles et les ordinateurs des journalistes – certains des outils les plus importants pour eux. Le CPJ a documenté des saisies d’appareils electroniques dans le monde entier, des États-Unis à la Slovaquie en passant par l’Irak. Au Bénin, la police a copié des données sur l’ordinateur alors saisi de Casimir Kpedjo, rédacteur en chef du journal Nouvelle Économie, a rapporté le CPJ en avril. Et en Tanzanie, pendant la détention de deux membres du personnel du CPJ en novembre 2018, des agents du renseignement ont saisi leurs appareils et se sont vantés de disposer de la technologie israélienne pour extraire les informations.
La technologie d’investigation informatique conçue pour extraire les informations des téléphones et des ordinateurs est commercialisée et vendue aux forces de l’ordre à travers le monde entier. Le CPJ a identifié au moins deux sociétés produisant des outils d’enquêtes numériques – Cellebrite, en Israël, et AccessData aux USA – qui opèrent au Nigeria, où les recherches du CPJ montrent que les forces de sécurité arrêtent et interrogent régulièrement des journalistes.
Les récents budgets annuels nigériane disposent d’importantes dotations financières visant à renforcer les moyen de surveillance et en matière d’investigation numérique. Entre 2014 et 2017, le gouvernement nigériane a dépensé au moins 127 milliards de naira (plus de 350 millions US$) en « équipement de surveillance/sécurité », selon un étude réalisé par Paradigm Initiative en 2018, un groupe de défense des droits numériques basé au Nigéria. « Les preuves montrent que ces achats ont été effectués pour des raisons politiques, notamment par les autorités au pouvoir à l’époque pour surveiller leurs adversaires et opposants politiques » relatait ce rapport.
L’une des principales préoccupations du Nigéria en matière de sécurité reste le conflit de longue date au nord-est contre Boko Haram et le groupe État islamique en Afrique de l’Ouest (ISWAP). Quelques heures avant le raid dans les bureaux du Daily Trust, le journal avait publié un reportage sur des efforts militaire nigériane visant à reprendre six villes des mains de Boko Haram. Dans une déclaration publiée sur Facebook le jour suivant, un porte-parole de l’Armée nigériane a déclaré que l’article divulguait des informations classifiées « portant atteinte à la sécurité nationale » et enfreignant la loi sur le secrets d’Etat du Nigéria.
Le droit à la protection de la vie privée est garantie par la constitution du Nigéria, et les agents des forces de l’ordre doivent obtenir un mandat judiciaire pour effectuer des recherches sur des systèmes informatiques en vertu de la Loi sur la cybercriminalité de 2015 du Nigéria. Cependant, la Loi sur les secrets officiels de 196 confère des pouvoirs très étendus aux forces de sécurité qui s’octroient elles-mêmes des mandats afin de pouvoir rechercher et saisir tout matériel considéré comme élément de preuve, et arrêter les personnes soupçonnées d’avoir enfreint la loi.
Le 10 janvier 2019, quatre jours après les raids, des enquêteurs de l’armée nigériane ont convoqué Idris et Nurudeen Abdallah, le rédacteur en chef des investigations du Daily Trust, pour les interroger sur les sources utilisées pour le reportage, qu’ils ont alors refusé de dévoiler, ont-ils déclaré au CPJ. Les agents leur ont alors demandé leurs téléphones. « Ils ont dit qu’ils voulaient les examiner par balayage », a déclaré Idris au CPJ. « Ils ont dit [qu’ils] voulaient simplement voir le contenu et peut être les numéros des personnes auxquelles je parle – j’ai dit non. » Les agents leur ont dit qu’un serveur pour la technologie de balayage était hébergé dans le Bureau du Conseiller à la sécurité nationale, le principal adjoint de sécurité du président, a déclaré Abdallah au CPJ. Les journalistes ont dit qu’ils n’avaient pas apporté leurs téléphones et ont décliné à plusieurs reprises les relances pour qu’ils y retournent avec.
Le 9 octobre, le CPJ a joint par téléphone Sagir Musa, porte-parole de l’armée nigériane, et l’a interrogé sur les raids dans les bureaux du Daily Trust. Musa a dit qu’il n’entendait pas et a demandé de lui envoyer un message avant que la ligne resté silencieux; les appels et les messages qui ont suivi sont restés sans réponse. Les appels passés à Onyema Nwachukwu, directeur de l’information de la Défense pour l’armée nigérieane, sont également restés sans réponse.
Un individu au sein des forces de l’ordre nigérianes a déclaré au CPJ que les forces de sécurité utilisent bien l’Universal Forensic Extraction Device (UFED) et le Forensic Toolkit (FTK) pour récupérer les informations sur les appareils. L’UFED est vendu par la société israélienne Cellebrite, qui appartient à la société japonaise SUNCORPORATION, alors que le FTK est vendu par l’Américain AccessData Group. L’individu a accepté de parler au CPJ en raison des préoccupations concernant l’éventuelle utilisation abusive de la technologie en question, mais a demandé à ce que son nom reste anonyme par crainte de représailles.
Le site Web de Cellebrite affirme que son produit UFED peut « [e]xtraire et décoder chaque once de données contenu dans les appareils numériques » et que son équipement est déployé « dans 150 pays ». Des documents de la société volés par des pirates informatiques et rapportés par VICE News en 2017 suggèrent des relations client avec la Russie, la Turquie, et les Émirats Arabes Unis. Les forces de l’ordre fédérales américaines ont aussi investi dans la technologie de Cellebrite, selon les informations sur les marchés publics publiées en ligne et les informations parues dans les médias. Au Nigéria, « les autorités ont saisi le téléphone Samsung [d’un a baron de la drogue] » lors de son arrestation « et ont extrait et analysé les données qu’il contenait en utilisant l’UFED », selon une étude de cas publiée sur le site Web de Cellebrite.
Dans un autre exemple, l’UFED de Cellebrite a été utilisé à Myanmar pour « extraire des documents » des téléphones des journalistes de Reuters alors emprisonnés Wa Lone et Kyaw Soe Oo, rapporte le Washington Post en mai 2019. Cellebrite a déclaré qu’elle exigeait des clients « qu’ils respectent les normes du droit international relatif aux droits de l’homme » faute de quoi elle mettrait un terme à leurs accords, selon l’article du Post. Les termes et conditions de Cellebrite stipulent que les produits, logiciels et services doivent être utilisés « d’une manière qui ne viole pas les droits d’un tiers ».
Le CPJ a joint Christopher Bacey, directeur des relations publiques de Cellebrite, par téléphone à la mi-septembre pour lui demander des éclairages sur les ventes de la société au Nigéria, et si la société passe en revue les bilans des pays en matière de droits de l’homme ou tient compte des droits des journalistes de protéger leurs sources. À sa demande, le CPJ a envoyé des questions par e-mail, mais n’a reçu aucune réponse avant la publication du présent article. Msao Koda, qui travaille dans le service des ventes de Cellebrite pour SUNCORPORATION, a également demandé à ce que les questions soient envoyés par e-mail en septembre auxquelles il n’a pas répondu avant cettte publication.
Comme Cellebrite, AccessData plébiscite le FTK comme un outil permettant d’identifier les informations sur « n’importe quel appareil ou système numérique produisant, transmettant ou stockant des données », y compris à partir de l’historique web, des e-mails, des messages instantanés et des réseaux sociaux. La société se targue aussi de pouvoir « [d]écrypter des fichiers, passer outre les mots de passe, et produire un rapport, le tout avec une seule et même solution ».
En 2011, System Trust, société de sécurité numérique nigériane, a établi un partenariat de vente par l’intermédiaire de DRS, une société de cybersécurité sud-africaine, pour distribuer la technologie AccessData, a rapporté à l’époque le journal nigérian Vanguard. Le CEO de System Trust, Philip Nwachukwu, a déclaré au CPJ par téléphone que les forces de sécurité nigérianes ne faisaient pas partie de ses clients pour cette technologie, et qu’il ne savait pas si AccessData avait d’autres relations commerciales dans le pays. Il a aussi insisté sur le fait que l’équipement d’investigation numérique devrait être déployé de manière éthique. « Je ne peux pas être un acteur étatique tout puissant et aller envahir la vie privée d’un individu », a-t-il déclaré.
Plusieurs appels du CPJ au siège social d’AccessData aux USA ont été transmis par un opérateur mais sont restés sans réponse. Des demandes d’interview envoyées à deux adresses e-mail communiquées par téléphone par des personnes des bureaux de Londres et de Frankfort sont aussi restées sans réponse.
Les tentatives répétées du CPJ de joindre par téléphone DRS au début du mois d’octobre ont été transmises au spécialiste de la cybersécurité Zach Venter. Une fois seulement, Venter a demandé au CPJ de rappeler au bout de 30 minutes. Les tentatives ultérieures de le joindre par téléphone et messages ont été infructueuses.
Les appareils d’Uthman Abubakar lui ont été rendus peu de temps après sa remise en liberté à Maiduguri, alors que les 24 ordinateurs confisqués pendant le deuxième raid n’ont été rendus que sept semaines plus tard, a déclaré au CPJ Mannir Dan-Ali, rédacteur en chef du Daily Trust. Le journal ne les utilisera plus, a-t-il ajouté.
Pour plus d’informations sur la sécurité numérique, consultez le Kit de sécurité numérique du CPJ.