La société mère de Facebook, Meta, a récemment annoncé avoir bloqué sept sociétés « cyber mercenaires », accusées d’avoir exploité les données de ses utilisateurs et les avoir vendues à une clientèle obscure. (Image : Capture d’écran / YouTube)
Meta, la société mère de Facebook, Instagram et WhatsApp a banni de ses plateformes sept sociétés, qui selon elle, ont utilisé ses plateformes pour espionner quelque 48 000 utilisateurs dans plus de 100 pays.
Ces sociétés de « surveillance pour le compte de tiers » étaient liées à environ 1 500 comptes sur Facebook et Instagram. Ces comptes étaient utilisés pour collecter des informations sur les gens et les inciter à donner des informations personnelles sensibles afin que les entreprises puissent installer des logiciels espions sur leurs appareils.
Meta a déclaré que cette opération de nettoyage avait nécessité des mois d’enquête. La société affirme avoir supprimé 1 500 profils Facebook et Instagram qui pouvaient être rattachés à ces sociétés.
Facebook has banned hundreds of accounts linked to 7 "cyber mercenary" companies that spied on nearly 50,000 users—including journalists, dissidents, families of political dissidents and human rights activists.
Dans la plupart des cas, ces entreprises créaient de faux profils utilisés ensuite pour collecter les renseignements des clients, pirater leurs appareils ou s’emparer de leur argent.
Le communiqué de Meta rédigé par David Agranovich, directeur de Threat Disruption, et Mike Dvilyanski, chef des enquêtes sur le cyberespionnage, indique : « L’industrie mondiale de la surveillance pour le compte d’autrui cible les gens pour collecter des renseignements, manipuler et compromettre leurs appareils et leurs comptes sur Internet. »
« Alors que ces " cyber mercenaires " prétendent souvent que leurs services ne ciblent que les criminels et les terroristes, notre enquête, qui a duré plusieurs mois, a conclu que le ciblage est en fait aveugle et inclut des journalistes, des dissidents, des critiques des régimes autoritaires, des familles d’opposants et des militants des droits de l’homme. »
« Nous avons désactivé sept entités qui ciblaient des personnes sur Internet dans plus de 100 pays. Nous avons partagé nos conclusions avec des chercheurs en sécurité, d’autres plateformes et des décideurs, émis des avertissements de type " cesser et s’abstenir ", et nous avons également alerté les personnes qui, selon nous, étaient ciblées pour les aider à renforcer la sécurité de leurs comptes. »
Sur les sept entreprises de surveillance pour le compte de tiers, quatre auraient opéré depuis Israël, à savoir : Cobwebs Technologies, Cognyte, Black Cube et Bluehawk CI.
Les autres concernent BellTroX, une société basée en Inde, Cytrox, une société de Macédoine du Nord, et une société basée en Chine, qui n’a pas encore été identifiée, soupçonnée d’avoir un lien avec la police locale qui cible la minorité ouïghoure en Chine.
Trois phases de corruption
Meta a déclaré avoir « observé trois phases d’activité de ciblage par ces acteurs commerciaux qui constituent leur " chaîne de surveillance " : Reconnaissance, Engagement et Exploitation ». La plupart des entreprises étaient impliquées dans deux ou les trois phases du processus, selon le rapport.
Meta a distingué trois phases de surveillance utilisées par les sept entreprises désormais interdites, pour espionner les utilisateurs finaux. (Image : Meta Announcement)
La phase de reconnaissance est généralement celle au cours de laquelle les cibles sont silencieusement profilées par les sociétés de cybersurveillance. Ces entités utilisent des outils de collecte de données automatisés sur des sources Internet telles que les blogs, les médias sociaux et les plateformes de gestion des connaissances comme Wikipedia et Wikidata.
La phase d’engagement est celle où la société de surveillance tente de créer un contact avec ses cibles, d’établir une relation de confiance, souvent sous couvert d’un faux profil, de demander des données et de les inciter à cliquer sur des liens ou des fichiers malveillants.
La dernière phase, l’exploitation, également appelée « hacking for hire » (piratage à louer), est celle où les personnes ciblées ont déjà fourni des données vitales comme des mots de passe et des codes PIN pour accéder à la messagerie, aux médias sociaux et aux services financiers. À ce moment-là, leurs appareils sont gravement détournés et compromis de manière irréversible.
Black Cube, l’une des sociétés de piratage présumées, a clamé son innocence, affirmant dans une déclaration à la NPR qu’elle « n’entreprend aucun hameçonnage ou piratage et n’opère pas dans le " cybermonde " ». Elle s’identifie plutôt comme une « entreprise de soutien aux litiges » qui suit les directives légales dans ses opérations.
« Black Cube obtient des conseils juridiques dans toutes les juridictions dans lesquelles nous opérons afin de s’assurer que les activités de nos agents sont entièrement conformes aux lois locales ».
Le plus offrant est servi, sans discernement
La déclaration de Meta fait également référence à un autre cas, celui d’une entité malveillante que Meta a bannie de sa plateforme en juillet ; il s’agit de la société NSO, basée en Israël, qui a fourni des services de surveillance pour des personnes très en vue, comme le président français Emmanuel Macron, le roi Mohammed VI du Maroc et le Dalaï Lama.
Le scandale du projet Pegasus a révélé que des dirigeants mondiaux, des défenseurs des droits de l’homme, des journalistes et des avocats étaient surveillés depuis des années et à leur insu par des acteurs gouvernementaux. (Image : Capture d’écran / YouTube)
Cependant, selon le rapport Meta, NSO « n’est qu’une pièce d’un écosystème mercenaire mondial beaucoup plus large », faisant partie d’une industrie « tentaculaire » et sombre qui offre des services d’espionnage à la demande à quiconque est prêt à payer, « indépendamment de qui ils ciblent ou des violations des droits de l’homme qu’ils pourraient générer.»
« L’industrie de la surveillance à la demande ressemble à un ciblage indiscriminé pour le compte du plus offrant », a déclaré Nathaniel Gleicher, responsable de la politique de sécurité chez Meta, dans un rapport sur les menaces qui est venu avec l’avis. L’objectif est « d’espionner les gens ou de les épier sans qu’ils le sachent ».
Nathaniel Gleicher a déclaré au média que ces entreprises étaient « aveugles » quant aux personnes qu’elles ciblaient. « Nous voyons des politiciens. Nous voyons des militants des droits de l’homme. Nous voyons des avocats, des médecins, des membres du clergé, dans certains cas, des citoyens ordinaires. Toute personne susceptible d’être partie à une action en justice », a-t-il ajouté.
« Presque tous les autocrates et dictateurs du monde se voient proposer ce type de technologie pour la surveillance », a déclaré au journal le chercheur principal du Citizen Lab, John Scott-Railton.
« Il est vraiment important que nous arrivions à une phase où il y a de grandes normes et réglementations mondiales autour de ce type de technologie », a ajouté Scott-Railton. « Sinon, ce n’est que de l’essence sur le feu autoritaire ».
Recommandations
Le rapport Meta se termine par des recommandations visant à empêcher les entreprises malveillantes d’espionner les internautes crédules, de collecter leurs informations d’identification, de transformer leurs téléphones en dispositifs d’espionnage et de vendre leurs données sensibles à des régimes crapules.
Ces mesures impliquent une transparence et une surveillance accrues. Des normes de « connaissance du client » devraient être mises en place et les sociétés de surveillance devraient être tenues responsables.
Une collaboration et un échange d’informations accrus entre les entreprises seraient d’autres outils permettant d’analyser les modes opératoires des entités malveillantes et de contrecarrer leurs efforts dans la mesure du possible.
Meta plaide également en faveur d’un renforcement des normes éthiques à respecter par les forces de l’ordre et les entreprises privées et de la création de régimes efficaces de protection des victimes.
Rédacteur Fetty Adler
Soutenez notre média par un don ! Dès 1€ via Paypal ou carte bancaire.
