Image via MidJourney. CC BY 4.0

En décembre 2021, Eliza Triantafillou, journaliste au média indépendant grec The Inside Story, cherchait le sujet de son prochain article lorsqu'elle a vu un rapport sur l'industrie de la « surveillance à louer », publié en début de mois par Meta, la société mère de Facebook.

Elle a ensuite rédigé un article en réponse [au rapport]. Cet article fait partie d'une série de reportages réalisés par des journalistes grecs, révélant les détails d'un scandale d'écoutes et de surveillance durant plusieurs mois, baptisé « Watergate on Steroids. » Les conclusions mettent en évidence les lacunes des réglementations gouvernementales et des capacités techniques face à l'évolution rapide de l'industrie de la surveillance privée, permettant ensuite à ces mêmes gouvernements de surveiller leurs citoyens.

Jusqu'à présent, en Grèce, il y a eu quatre tentatives confirmées d'infecter des journalistes, des hommes politiques et même des agents des services de renseignement par un logiciel espion appelé Predator, capable d'effectuer une surveillance avancée des téléphones, y compris l'enregistrement des conversations et l'accès aux conversations cryptés.

La relation avec la Grèce

En décembre dernier, Eliza Triantafillou a remarqué d’une part le rapport de Meta et d’autre part un rapport publié le même jour par le laboratoire de recherche Citizen Lab, basé à Toronto. Les deux étaient liés à la Grèce et concluaient que Predator, un logiciel espion de surveillance sophistiqué, avait été acheté pour être utilisé en Grèce et dans d’autres pays. Cytrox, la société nord-macédonienne à l’origine de Predator, appartient à un groupe de fournisseurs mercenaires de services de surveillance commercialisés sous le label Intellexa, et présent en Grèce depuis 2020.

Lorsqu’Eliza Triantafillou a publié son article en janvier 2022, elle s'est concentrée sur la façon dont Meta a supprimé environ 300 comptes Facebook et Instagram liés à Cytrox, et sur la façon dont Cytrox « détourne » de véritables URL, y compris celles de médias d'information crédibles. Au premier coup d'œil, ces liens semblent authentiques, mais ils ont une syntaxe légèrement différente de l'URL réelle (comme une lettre manquante ou un symbole supplémentaire). Ils peuvent ainsi être utilisés pour tromper les cibles en les faisant cliquer dessus, activant l'infection du téléphone par Predator.

« Nous avons vu qu'il y avait une proportion inégale de domaines grecs dans cette liste, car sur 310 domaines usurpés signalés par Meta, 43 d'entre eux étaient d'intérêt grec », a déclaré Eliza Triantafillou, au cours d'une interview Zoom. « Nous sommes un très petit pays. Notre part dans le trafic Internet mondial est beaucoup plus faible que celle des autres pays qui, sur la base de ces deux rapports, figurent parmi les clients. »

Le diable se trouve dans les détails : surveillance « légale » contre surveillance « illégale »

Lorsque Thanasis Koukakis, un autre journaliste grec, a lu l'article d’Eliza Triantafillou, il s'est rendu compte que de nombreux domaines usurpés figurant sur la liste imitaient des sites d'information pour lesquels il avait travaillé ou collaborait encore. Thanasis Koukakis avait récemment découvert des cas de fraude dans le pays. Il soupçonnait déjà que ses conversations étaient écoutées, et, en août 2020, il a déposé une plainte auprès de l'Autorité de garantie de la confidentialité des communications (ADAE), lui demandant de procéder aux vérifications nécessaires. Aujourd'hui, nous savons qu'il était mis sur écoute par l'Ethniki Ypiresia Pliroforion (EYP), le service de renseignements grec. En juillet 2021, il a reçu une réponse de l'ADAE  lui disant qu'il n'y avait pas eu de violation de la loi, ce qui, de fait, ne signifiait pas qu'il n'était pas espionné.

Les écoutes réalisées par l'EYP sont techniquement « légales. » Par contre, l'utilisation de logiciels espions tels que Predator est considérée comme illégale en Grèce. L'article 19 de la Constitution protège le droit à la confidentialité des communications. Toutefois, des exceptions sont prévues pour des raisons de sécurité nationale et pour enquêter sur des crimes graves. La surveillance de Thanasis Koukakis par le EYP a été justifiée par l'agence de renseignement en utilisant l'argument de la sécurité nationale, même s'il n'est pas clair comment le travail d'un journaliste d'investigation aurait pu nuire à la sécurité nationale. En mars 2021, le gouvernement a adopté un amendement révoquant le droit des citoyens à savoir s'ils ont été espionnés après la fin de leur surveillance, expliquant pourquoi Thanasis Koukakis n'a pas été informé de sa mise sur écoute.

Le gouvernement a lui aussi utilisé cette dichotomie entre légal et illégal pour se défendre. Le Premier ministre a publiquement déclaré que, même si la surveillance d'un homme politique était « politiquement inacceptable », elle est légale, et la narrative de cette affaire ne doit pas saper le « travail important » de l'agence de renseignement. Lorsque Kyriakos Mitsotakis a pris le pouvoir en tant que Premier ministre, il a pris l’EYP sous son propre commandement. Aujourd'hui, il affirme n'avoir aucune connaissance des écoutes. Or, le chef du EYP, accompagné du neveu de Kyriakos Mitsotakis et du secrétaire général du bureau du Premier ministre, Grigoris Dimitriadis, ont tous démissionné de leurs fonctions.

Un cadre plus large

En novembre 2021, le journaliste grec Stavros Malichudis parcourt les actualités lorsqu'il tombe sur les révélations du journal Efimerida ton Syntakton. Il s'agissait des écoutes par l'EYP d'un certain nombre de citoyens, dont des journalistes. L'article décrit le cas d'un journaliste travaillant sur les questions de migration. En lisant attentivement les détails, Stavros Malichudis réalise que le journaliste en question, c’est lui-même. En réponse aux lettres envoyées par l'agence de presse AFP — avec laquelle Stavros Malichudis travaillait à l'époque — les autorités grecques ont nié à deux reprises l'avoir espionné. « … Aucune surveillance de journalistes n'a lieu en Grèce… Pour éviter tout doute, le gouvernement grec en fait autant », peut-on lire dans une réponse, signée par le ministre d'État.

Thanasis Koukakis, Eliza Triantafillou et Stavros Malichudis témoignent devant la commission PEGA du Parlement européen sur l'utilisation de logiciels espions en Grèce. Crédit : Eric VIDAL/© Union européenne 2022 – Source : EP.

Des écoutes téléphoniques aux logiciels espions

En janvier 2022, ne sachant toujours pas si ses conversations téléphoniques étaient sur écoute, Thanasis Koukakis, après avoir lu le reportage d'Inside Story, envoie les fichiers extraits de son téléphone à Citizen Lab. Ils lui confirment avoir été ciblé par Predator. Un message provenant d'un numéro inconnu a partagé un lien vers ce qui semblait être un article de blog crédible. En réalité, il s'agissait d'une URL détournée. Après avoir cliqué dessus, le téléphone de Thanasis Koukakis a été infecté par le logiciel espion. Peu de temps après, grâce à un article de Reporters United, il a découvert qu'il avait également été mis sur écoute par les services de renseignement.

Pendant que le gouvernement grec niait avoir acheté ou utilisé Predator, d'autres cibles étaient identifiées. En juillet de cette année, Nikos Androulakis, président du troisième plus grand parti politique grec, le PASOK-KINAL, découvre qu'il a reçu un SMS en septembre 2021 contenant le même lien que celui reçu par Thanasis Koukakis. Il n'a pas cliqué dessus, et, de ce fait, n'a pas été infecté. En septembre, un autre homme politique — un ancien ministre du parti Syriza, Christos Spirtzis — a déclaré avoir également été la cible d'une tentative d'installation de Predator.

Cela conduit à des soupçons crédibles sur le rôle du gouvernement dans cette surveillance, soutenu par un rapport de Google. De plus, le moment de la mise sur écoute dite « légale » de Thanasis Koukakis et celui de l'infection de son téléphone par Predator semblent trop proches pour être une coïncidence. L'EYP a mis fin à sa surveillance après qu’il ait déposé une plainte et, peu après, son téléphone a été infecté par Predator. Témoignant devant le Parlement européen début septembre, Thanasis Koukasis a déclaré penser que le logiciel espion provenait du gouvernement. « Car d'une part, le coût des services d'Intellexa, selon ce que nous a dit Citizen Lab et vu les listes de prix trouvées sur le Dark Web, ne peut pas être supporté par une personne privée », a-t-il déclaré. « Est-ce que [le gouvernement aurait pu utiliser] une personne privée comme intermédiaire ? La réponse est oui. »

Eliza Triantafillou est d'accord avec cette idée. « Notre hypothèse — qui n'est pas qu'une hypothèse — est qu'il n'est pas nécessaire de l'acheter pour l'utiliser », dit-elle à propos de Predator. « Il n'est pas non plus nécessaire de l'utiliser directement. » La structure complexe de Cytrox et d'Intellexa, la société commercialisant le logiciel, s'étend sur plusieurs pays et implique de nombreuses entités enregistrées. Le fondateur d'Intellexa, Tal Dillian, un ancien officier des renseignements des forces de défense israéliennes (IDF), s'est installé en Grèce après avoir fait face à des problèmes juridiques avec les autorités chypriotes pour une interview parue dans Forbes en 2019. En 2020, la société Intellexa était constituée en Grèce.

Ce diagramme provient d'une plainte contre Tal Dillian par son partenaire commercial de Tel-Aviv, Avi Ruvenstein. Il montre une structure compliquée de sociétés, incluant Intellexa et Cytrox. Image d'Eliza Triantafillou. Utilisée avec permission.

Avec quatre tentatives connues de cibler des citoyens grecs avec Predator, la question est de savoir s'il y a d'autres cibles. Eliza Triantafillou, elle, en est convaincue. « Lorsque vous disposez d'un outil aussi puissant et aussi coûteux, valant des millions, que vous avez créé au moins 50 domaines et que vous n'en avez utilisé qu'un seul [lien] pour cibler Androulakis, Koukakis et maintenant Spirtzis, il est quasiment stupide de dépenser cette somme d'argent pour uniquement cibler trois personnes », dit-elle.

Maintenir le cap avec la technologie

Le scandale en cours en Grèce touche la racine d'un problème auquel tous les pays sont confrontés : les mécanismes de réglementation et les organisations censés protéger les droits numériques des civils n'ont pas évolué avec le temps.

La « surveillance légale » de nos jours ne couvre qu'une partie des communications que nous effectuons sur nos téléphones. Une grande partie d'entre elles — discuter sur des applications cryptées comme WhatsApp et Signal, ou parler sur Zoom — ne relèvent pas de la mise sur écoute. Elles nécessitent des techniques de surveillance beaucoup plus avancées, fournies par des sociétés mercenaires de surveillance comme Cytrox.

Rammos Christos, chef de l'ADAE, l'a souligné devant le Parlement européen, déclarant que son organisation a « la compétence de contrôler uniquement les fournisseurs de services de télécommunications, et non les agences générales ou les sociétés privées. »

Stavros Malichudis, le journaliste mis sur écoute par le gouvernement, a fait vérifier l'absence de logiciels espions sur son téléphone après les récentes révélations (tout est clair). Avec les journalistes Eliza Triantafillou et Thanasis Koukakis, il a témoigné devant le Parlement européen début septembre, s'appuyant sur son expérience personnelle pour montrer que les écoutes et les logiciels espions font partie d'une tentative insidieuse de saper le droit fondamental à la vie privée. Une commission d'enquête parlementaire est également en cours en Grèce, et ses progrès se poursuivent.