Délits d’opinions, harcèlements, intimidations policières. Au Maroc, la répression contre celles et ceux qui contestent le régime s’est durement intensifiée. Abdellatif Hamamouchi, 28 ans, en a fait les frais. Un soir de juillet 2018, le journaliste et militant de l’Association marocaine des droits humains a fait l’objet d’une violente agression. Des hommes qui appartenaient selon lui à la police politique du régime l’ont « battu et jeté par terre » avant de lui prendre son téléphone portable. « Ils n’ont pris que mon téléphone, se souvient-il. Grâce à lui, ils ont pu avoir accès à mes e-mails, ma liste de contacts, mes échanges avec mes sources. » Comme lui, une dizaine de journalistes et militants marocains dont nous avons recueilli le témoignage expliquent s’être vu confisquer leurs téléphones à la suite d’une arrestation arbitraire. Selon eux, cette pratique obéirait à un unique objectif : renforcer le fichage des opposants présumés en collectant un maximum d’informations personnelles. Un contrôle qui, depuis 2019, pourrait être facilité par le soutien technologique et financier de l’Union européenne.
Disclose, en partenariat avec l’hebdomadaire allemand Die Spiegel, révèle que l’UE a livré au Royaume du Maroc des puissants systèmes de surveillance numérique. Des logiciels conçus par deux sociétés spécialisées dans le piratage des téléphones et l’aspiration de données, MSAB et Oxygen forensic, avant d’être livrés aux autorités marocaines par Intertech Lebanon, une société franco-libanaise, sous la supervision du Centre international pour le développement des politiques migratoires (ICMPD). Objectif de ce transfert de technologies financé sur le budget du « programme de gestion des frontières pour la région Maghreb » de l’UE : lutter contre l’immigration irrégulière et le trafic d’êtres humains aux portes de l’UE.
Selon des documents obtenus par Disclose et Die Spiegel auprès des institutions européennes, la société MSAB, d’origine suédoise, a fourni à la police marocaine un logiciel baptisé XRY capable de déverrouiller tous types de smartphones pour en extraire les données d’appels, de contacts, de localisation, mais aussi les messages envoyés et reçus par SMS, WhatsApp et Signal. Quant à Oxygen forensic, domiciliée pour sa part aux Etats-Unis, elle a livré un système d’extraction et d’analyse de données baptisé « Detective » (▻https://www.oxygen-forensic.com/uploads/doc_guide/Oxygen_Forensic_Detective_Getting_Started.pdf). Sa spécificité ? Contourner les verrouillages d’écran des appareils mobiles afin d’aspirer les informations stockées dans le cloud (Google, Microsoft ou Apple) ou les applications sécurisées de n’importe quel téléphone ou ordinateur. La différence notable avec le logiciel Pegasus, les deux logiciels nécessitent d’accéder physiquement au mobile à hacker, et ne permet pas de surveillance à distance.
La police marocaine formée au piratage numérique
A l’achat des logiciels et des ordinateurs qui vont avec, l’Union européenne a également financé des sessions de formations dispensées aux forces de police marocaine par les collaborateurs d’Intertech et les salariés de MSAB et Oxygen Forensic. Mais ce n’est pas tout. Selon des documents internes obtenus par l’ONG Privacy International, l’Europe a aussi envoyé ses propres experts issus du Collège européen de police, le CEPOL, pour une formation de quatre jours à Rabat entre le 10 et le 14 juin 2019. Au programme : sensibilisation à « la collecte d’information à partir d’Internet » ; « renforcement des capacités d’investigation numérique », introduction au « social hacking », une pratique qui consiste à soutirer des informations à quelqu’un via les réseaux sociaux.
Contrôle inexistant
Reste à savoir si ces outils de surveillance sont réellement, et exclusivement, utilisés à des fins de lutte contre l’immigration illégale. Or, d’après notre enquête, aucun contrôle n’a jamais été effectué. Que ce soit de la part des fabricants ou des fonctionnaires européens. Dit autrement, le Maroc pourrait décider d’utiliser ses nouvelles acquisitions à des fins de répression interne sans que l’Union européenne n’en sache rien. Un risque d’autant plus sérieux, selon des chercheurs en sécurité numérique joints par Disclose, que les logiciels XRY et Detective ne laissent pas de traces dans les appareils piratés. A la grande différence d’une autre technologie bien connue des services marocains : le logiciel israélien Pegasus, qui permet de pirater un appareil à distance. Le système Pegasus a été massivement employé par le Maroc dans le but d’espionner des journalistes, des militants des droits humains et des responsables politiques étrangers de premier plan, comme l’a révélé le consortium de journalistes Forbidden Stories (▻https://forbiddenstories.org/fr/case/le-pegasus-project) en 2021. Avec les solutions XRY et Detective, « dès que vous avez un accès physique à un téléphone, vous avez accès à tout », souligne Edin Omanovic, membre de l’ONG Privacy international. Un élément qu’il estime « inquiétant », poursuit-il, « dans un contexte où les autorités ciblent les défenseurs des droits de l’homme et les journalistes ».
Afin de garantir que le matériel ne sera pas détourné de son objet officiel, la Commission européenne, sollicitée par Disclose, affirme qu’un document d’engagement a été signé par les autorités marocaines – il ne nous a pas été transmis. D’après un porte-parole, ledit document mentionnerait l’usage de ces technologies dans le seul but de lutter « contre le trafic d’êtres humains ». Rien d’autre ? « L’UE fait confiance à Rabat pour respecter son engagement, c’est de sa responsabilité », élude le porte-parole.En réalité, ce transfert de technologies devrait faire l’objet d’une attention particulièrement accrue. Pour cause : les systèmes fournis par l’UE sont classés dans la catégorie des biens à double usage (BDU), c’est-à-dire des biens qui peuvent être utilisés dans un contexte militaire et civil. Ce type d’exportation est même encadré par une position commune de l’UE, datée de 2008. Celle-ci stipule que le transfert des biens à double usage est interdit dès lors qu’il « existe un risque manifeste » que le matériel livré puisse être utilisé à des fins de « répression interne ». Un risque largement établi dans le cas marocain, comme l’a démontré l’affaire Pegasus.
Contactés, MSAB et Oxygen Forensic ont refusé de nous répondre. Même chose du côté des régulateurs suédois et américains sur les exportations de biens à double usage. Alexandre Taleb, le PDG d’Intertech, la société responsable du déploiement des technologies, a été plus loquace. « Mes clients savent ce qu’ils achètent, je n’ai pas à les juger. Ils ont plus de 400 millions d’habitants qui peuvent s’en charger, déclare-t-il. Si le Maroc a des problèmes démocratiques, c’est une chose, mais nos outils ne sont pas la cause de ces problèmes ». Pour ce marché, Intertech a empoché près de 400 000 euros.
Au parlement européen, ces exportations sont loin de faire l’unanimité. « Sous prétexte de sécuriser nos frontières, nous ne pouvons pas nous contenter des promesses d’un régime autoritaire, déplore ainsi l’eurodéputée Markéta Gregorová (groupe des Verts). C’est une négligence délibérée et moralement inacceptable de la part de l’Europe ». Une négligence qui passe d’autant plus mal que la société MSAB a été accusée (▻https://theintercept.com/2021/06/14/myanmar-msab-eu-technology-regulation) d’avoir équipé la police birmane en 2019, à un moment où des exactions contre des civils étaient connues et documentées.
