Sauf mention contraire, tous les liens renvoient vers des pages en anglais.
Le 15 juin, Amnesty International et Citizen Lab, un laboratoire interdisciplinaire situé à la Munk School of Global Affairs à l'Université de Toronto, a mis à jour une campagne coordonnée de logiciel malveillant ayant ciblé neuf défenseurs indiens des droits humains entre janvier et octobre 2019.
Dans la plus grande démocratie au monde, ces types d'incidents sont particulièrement préoccupants lorsqu'ils sont considérés en parallèle avec une répression plus large de la dissidence. Sous le gouvernement du Parti Bharatiya Janata [fr] (BJP), l'Inde s'est tristement distinguée au niveau international pour avoir réduit au silence les voix critiques au travers de procès en diffamation abusifs, d'arrestations et de détentions de citoyens impliqués dans des manifestations pacifiques, et l'emprisonnement de journalistes.
Les activistes ont reçu de nombreux emails contenant des liens vers des logiciels malveillants, mais ayant l'aspect de communications importantes. En cas de téléchargement, le programme infecte le téléphone ou l'ordinateur par Netwire, une partie du produit de programme malveillant conçu pour causer des dommages considérables aux données et aux systèmes ou pour accéder sans autorisation à un réseau.
Huit des personnes ciblées avaient sollicité la libération des personnes mises en accusation dans l'affaire Bhima koregaon, qui remonte à 2018, lorsque, à la suite d'attaques violentes contre les communautés dalits [fr] à Maharashtra, la police a arrêté plusieurs militant·e·s reconnu·e·s pour leurs travaux de défense pour le compte de ces communautés.
Les questions sans réponse au sujet de Pegasus
Trois des individus ciblés à l'aide de Netwire ont déjà fait l'objet de ce type d'attaque en 2019, avec le tristement célèbre piratage de NSO WhatsApp, une attaque par logiciel malveillant au cours de laquelle au moins une douzaine d'universitaires, de juristes, de militant·e·s et de journalistes dalits ont été la cible de Pegasus [fr], un logiciel malveillant [fr] qui peut extraire les données privées d'un utilisateur, y compris ses mots de passe, ses listes de contact, son calendrier d'événements, ses messages écrits, et même ses enregistrements vocaux. Certaines versions de ce programme peuvent même activer l'appareil photo et le microphone du téléphone pour capturer l'activité aux alentours.
Les personnes ont été informées de cette attaque par WhatsApp, qui les a contactées en leur faisant savoir que leurs téléphones avait été placés sous surveillance par une technologie de pointe pendant une période de deux semaines, en mai 2019. Ce piratage faisait partie d'une attaque plus étendue qui ciblait au moins 100 membres de la société civile dans le monde entier et a conduit WhatsApp à engager des poursuites judiciaires contre le groupe NSO devant un tribunal américain.
À la suite de la révélation des attaques de Pegasus en novembre 2019, l'entreprise NSO s'est défendue en déclarant qu'elle vendait sa technologie seulement « aux services de renseignement gouvernementaux homologués et aux autorités policières ». Par conséquent, plusieurs de celles et ceux qui ont été pris·e·s pour cible en Inde ont écrit au Comité parlementaire permanent sur la technologie de l'information, en demandant si le gouvernement avait autorisé l'usage de ce logiciel malveillant. Le ministère de l'Intérieur et le ministère des Technologies de l'information du gouvernement indien ont refusé de donner une réponse franche à cette question, affirmant seulement qu'il n'y avait eu « aucune interception illégale ». Ensuite, le gouvernement a cherché à reporter la faute sur WhatsApp, insinuant que la plateforme technologique avait permis que cette infraction se produise, sans l'en informer. Achevant d'embarrasser le gouvernement, WhatsApp a répondu par une déclaration affrimant que l'organisme central de la réponse cybernétique avait en réalité été informé au moment où les attaques ont débuté.
Le fait d'intercepter des dispositifs informatiques ou d'y accéder illégalement est considéré comme un acte délictueux selon la loi internationale et la Loi sur la technologie informatique de l'Inde. Si les pirates étaient des acteurs privés, on peut s'inquiéter de savoir pourquoi le gouvernement indien n'a encore rien divulgué sur les détails de l'enquête criminelle, malgré le fait que des preuves suffisantes existent pour déterminer que ces crimes ont été commis à l'encontre de ses propres citoyen·ne·s. Le scénario alternatif, s'il s'avère être vrai, est doublement inquiétant. La surveillance de l'État par le biais d'un logiciel malveillant porte non seulement atteinte aux propres lois de l'Inde autour de l'interception de communications privées, mais constitue aussi une menace importante pour la liberté d'expression, la vie privée et la liberté de pensée.
Les mesures de surveillance du BJP
Alors que des formes moins intrusives de surveillance ont été utilisées par les différents pouvoirs en place depuis des décennies en Inde, les mesures du BJP sont excessives, c'est le moins que l'on puisse dire. En décembre 2018, le ministère de l'Intérieur a donné une autorisation légale générale à dix organismes « pour intercepter, contrôler et décrypter les informations générées, transmises, reçues ou stockées dans tout ordinateur ». Cette ordonnance a été contestée devant la Cour suprême, donnant lieu à la réponse suivante de la part du gouvernement : « Le voile de la vie privée peut être levé dans l'intérêt légitime de l'État. » L'ordonnance continue à être appliquée, en attendant un jugement final par la Cour suprême.
En mai 2020, le ministère de l'Information et de la Diffusion a lancé et a clôturé un appel d'offre [pdf] pour un outil visant à « vérifier les faits et détecter la désinformation sur les plateformes de réseaux sociaux ». Selon les faits rapportés dans les médias, il s'agissait de la huitième tentative du gouvernement, depuis qu'il est arrivé au pouvoir en 2014, de « contrôler explicitement et directement les réseaux sociaux ». Cette dernière tentative de surveillance de masse est actuellement contestée en justice par l'Internet Freedom Foundation [Fondation pour la liberté d'Internet]. Étant donné qu'une décision de la Cour suprême remise en 2017 reconnaît la vie privée comme un droit fondamental, il y a bon espoir que cette tentative soit elle aussi contrecarrée.
Il est important de noter que ces tentatives pour contrôler la vie des citoyens se font en l'absence de loi de protection des données personnelles qui, si elles étaient adoptées en s'alignant sur les normes internationales des droits humains, pourraient offrir une certaine protection contre les tentatives répétées de surveillance. Le projet de loi sur la protection de données introduit par le gouvernement dirigé par le BJP en 2019, qui est actuellement en cours d'examen par un groupe parlementaire mixte, ne correspond pas à ces normes. Il vise à donner au gouvernement un accès sans restriction aux données personnelles, sur la justification vaguement formulée de la souveraineté, ce qui porte atteinte aux garanties juridiques fondamentales de nécessité et de proportionnalité, telles qu'inscrites dans la loi internationale [pdf] et reconnues par la Cour suprême de l'Inde [pdf] comme intrinsèques à la sauvegarde du droit à la vie privée. Autre inquiétude : il pourrait s'agir d'un moyen détourné d'apporter un soutien législatif aux activités de surveillance passive en ligne de l'État, qui sont actuellement conduites en dehors du champ d'application de la loi, simplement au travers de l'action exécutive, et échappent ainsi à une véritable surveillance. Naturellement, le projet de loi a fait face à une opposition massive de la part de la société civile, et même le Rapporteur spécial des Nations Unies sur la vie privée a manifesté des inquiétudes.
Une tendance générale
Ces tentatives pour contrôler et surveiller les espaces numériques ne sont pas propres à l'Inde – l'autoritarisme numérique [fr] est en augmentation dans le monde entier, en particulier dans les pays où une montée du nationalisme, associée à une législation moins robuste, a encouragé les gouvernements à réprimer la dissidence. Ces actions sont de plus en plus facilitées par des technologies fournies par des entreprises douteuses, en quête de profits rapides.
Les logiciels espion, l'un des outils de surveillance les plus envahissants, ont réussi à échapper jusqu'à présent à la régulation au niveau international, en grande partie du fait de la frilosité des gouvernements à aborder la question de la surveillance, surtout pour des raisons diplomatiques, politiques et de sécurité nationale. Par conséquent, le manque de structures de régulation de leur production, leur vente et leur utilisation, couplé à un intérêt croissant des régimes répressifs pour la vie privée de leurs détracteurs, a conduit à une hausse de l'usage des logiciels espion, comme ceux suivis par Citizen Lab. Préoccupé par cette tendance troublante, le Rapporteur spécial des Nations Unies sur la liberté d'expression a publié un rapport appelant les gouvernements à « établir un moratoire immédiat sur la vente et le transfert global des technologies privées de surveillance jusqu'à ce que des protections rigoureuses des droits humains soient mises en place pour réguler de telles pratiques et garantir que les gouvernements et les acteurs non-gouvernementaux utilisent ces outils dans un cadre légal ». Le département d'État américain a aussi publié des directives pour « assister les entreprises américaines qui cherchent à empêcher que leurs produits ou services à capacité de surveillance ne soient détournés de leur fonction par leurs destinataires finaux, en particulier des gouvernements étrangers, dans le but de commettre des abus de droits humains ».
Les choses vont dans le bon sens, en grande partie du fait de la défense constante assurée par les organisations de la société civile qui dénoncent courageusement les abus de droits humains, poussent les autorités à promulguer une législation respectueuse des droits, et s'engagent dans des contentieux stratégiques. Les pays qui aspirent à empêcher le déclin de la démocratie doivent soutenir ces groupes, en Inde et ailleurs, en s'engageant en tant que partenaires de confiance dans le combat pour le maintien de l'équité, de l'ouverture et de la liberté d'Internet.