• L’Union européenne a discrètement fourni au Maroc de puissants systèmes de piratage des téléphones
    https://disclose.ngo/fr/article/union-europeenne-a-discretement-fourni-au-maroc-de-puissants-systemes-de-p

    Pour renforcer le contrôle des migrants, l’Union européenne a fourni à la police marocaine des logiciels d’extraction de données des téléphones. Faute de contrôle, ces technologies pourraient servir à accentuer la surveillance des journalistes et défenseurs des droits humains au Maroc. Lire l’article

    • Délits d’opinions, harcèlements, intimidations policières. Au Maroc, la répression contre celles et ceux qui contestent le régime s’est durement intensifiée. Abdellatif Hamamouchi, 28 ans, en a fait les frais. Un soir de juillet 2018, le journaliste et militant de l’Association marocaine des droits humains a fait l’objet d’une violente agression. Des hommes qui appartenaient selon lui à la police politique du régime l’ont « battu et jeté par terre » avant de lui prendre son téléphone portable. « Ils n’ont pris que mon téléphone, se souvient-il. Grâce à lui, ils ont pu avoir accès à mes e-mails, ma liste de contacts, mes échanges avec mes sources. » Comme lui, une dizaine de journalistes et militants marocains dont nous avons recueilli le témoignage expliquent s’être vu confisquer leurs téléphones à la suite d’une arrestation arbitraire. Selon eux, cette pratique obéirait à un unique objectif : renforcer le fichage des opposants présumés en collectant un maximum d’informations personnelles. Un contrôle qui, depuis 2019, pourrait être facilité par le soutien technologique et financier de l’Union européenne.

      Disclose, en partenariat avec l’hebdomadaire allemand Die Spiegel, révèle que l’UE a livré au Royaume du Maroc des puissants systèmes de surveillance numérique. Des logiciels conçus par deux sociétés spécialisées dans le piratage des téléphones et l’aspiration de données, MSAB et Oxygen forensic, avant d’être livrés aux autorités marocaines par Intertech Lebanon, une société franco-libanaise, sous la supervision du Centre international pour le développement des politiques migratoires (ICMPD). Objectif de ce transfert de technologies financé sur le budget du « programme de gestion des frontières pour la région Maghreb » de l’UE : lutter contre l’immigration irrégulière et le trafic d’êtres humains aux portes de l’UE.

      Selon des documents obtenus par Disclose et Die Spiegel auprès des institutions européennes, la société MSAB, d’origine suédoise, a fourni à la police marocaine un logiciel baptisé XRY capable de déverrouiller tous types de smartphones pour en extraire les données d’appels, de contacts, de localisation, mais aussi les messages envoyés et reçus par SMS, WhatsApp et Signal. Quant à Oxygen forensic, domiciliée pour sa part aux Etats-Unis, elle a livré un système d’extraction et d’analyse de données baptisé « Detective » (https://www.oxygen-forensic.com/uploads/doc_guide/Oxygen_Forensic_Detective_Getting_Started.pdf). Sa spécificité ? Contourner les verrouillages d’écran des appareils mobiles afin d’aspirer les informations stockées dans le cloud (Google, Microsoft ou Apple) ou les applications sécurisées de n’importe quel téléphone ou ordinateur. La différence notable avec le logiciel Pegasus, les deux logiciels nécessitent d’accéder physiquement au mobile à hacker, et ne permet pas de surveillance à distance.
      La police marocaine formée au piratage numérique

      A l’achat des logiciels et des ordinateurs qui vont avec, l’Union européenne a également financé des sessions de formations dispensées aux forces de police marocaine par les collaborateurs d’Intertech et les salariés de MSAB et Oxygen Forensic. Mais ce n’est pas tout. Selon des documents internes obtenus par l’ONG Privacy International, l’Europe a aussi envoyé ses propres experts issus du Collège européen de police, le CEPOL, pour une formation de quatre jours à Rabat entre le 10 et le 14 juin 2019. Au programme : sensibilisation à « la collecte d’information à partir d’Internet » ; « renforcement des capacités d’investigation numérique », introduction au « social hacking », une pratique qui consiste à soutirer des informations à quelqu’un via les réseaux sociaux.
      Contrôle inexistant

      Reste à savoir si ces outils de surveillance sont réellement, et exclusivement, utilisés à des fins de lutte contre l’immigration illégale. Or, d’après notre enquête, aucun contrôle n’a jamais été effectué. Que ce soit de la part des fabricants ou des fonctionnaires européens. Dit autrement, le Maroc pourrait décider d’utiliser ses nouvelles acquisitions à des fins de répression interne sans que l’Union européenne n’en sache rien. Un risque d’autant plus sérieux, selon des chercheurs en sécurité numérique joints par Disclose, que les logiciels XRY et Detective ne laissent pas de traces dans les appareils piratés. A la grande différence d’une autre technologie bien connue des services marocains : le logiciel israélien Pegasus, qui permet de pirater un appareil à distance. Le système Pegasus a été massivement employé par le Maroc dans le but d’espionner des journalistes, des militants des droits humains et des responsables politiques étrangers de premier plan, comme l’a révélé le consortium de journalistes Forbidden Stories (https://forbiddenstories.org/fr/case/le-pegasus-project) en 2021. Avec les solutions XRY et Detective, « dès que vous avez un accès physique à un téléphone, vous avez accès à tout », souligne Edin Omanovic, membre de l’ONG Privacy international. Un élément qu’il estime « inquiétant », poursuit-il, « dans un contexte où les autorités ciblent les défenseurs des droits de l’homme et les journalistes ».

      Afin de garantir que le matériel ne sera pas détourné de son objet officiel, la Commission européenne, sollicitée par Disclose, affirme qu’un document d’engagement a été signé par les autorités marocaines – il ne nous a pas été transmis. D’après un porte-parole, ledit document mentionnerait l’usage de ces technologies dans le seul but de lutter « contre le trafic d’êtres humains ». Rien d’autre ? « L’UE fait confiance à Rabat pour respecter son engagement, c’est de sa responsabilité », élude le porte-parole.En réalité, ce transfert de technologies devrait faire l’objet d’une attention particulièrement accrue. Pour cause : les systèmes fournis par l’UE sont classés dans la catégorie des biens à double usage (BDU), c’est-à-dire des biens qui peuvent être utilisés dans un contexte militaire et civil. Ce type d’exportation est même encadré par une position commune de l’UE, datée de 2008. Celle-ci stipule que le transfert des biens à double usage est interdit dès lors qu’il « existe un risque manifeste » que le matériel livré puisse être utilisé à des fins de « répression interne ». Un risque largement établi dans le cas marocain, comme l’a démontré l’affaire Pegasus.

      Contactés, MSAB et Oxygen Forensic ont refusé de nous répondre. Même chose du côté des régulateurs suédois et américains sur les exportations de biens à double usage. Alexandre Taleb, le PDG d’Intertech, la société responsable du déploiement des technologies, a été plus loquace. « Mes clients savent ce qu’ils achètent, je n’ai pas à les juger. Ils ont plus de 400 millions d’habitants qui peuvent s’en charger, déclare-t-il. Si le Maroc a des problèmes démocratiques, c’est une chose, mais nos outils ne sont pas la cause de ces problèmes ». Pour ce marché, Intertech a empoché près de 400 000 euros.

      Au parlement européen, ces exportations sont loin de faire l’unanimité. « Sous prétexte de sécuriser nos frontières, nous ne pouvons pas nous contenter des promesses d’un régime autoritaire, déplore ainsi l’eurodéputée Markéta Gregorová (groupe des Verts). C’est une négligence délibérée et moralement inacceptable de la part de l’Europe ». Une négligence qui passe d’autant plus mal que la société MSAB a été accusée (https://theintercept.com/2021/06/14/myanmar-msab-eu-technology-regulation) d’avoir équipé la police birmane en 2019, à un moment où des exactions contre des civils étaient connues et documentées.

      #externalisation #asile #migrations #réfugiés #Maroc #UE #EU #surveillance_numérique #complexe_militaro-industriel #surveillance #répression #logiciels #aspiration_des_données #piratage_des_téléphones #MSAB #Oxygen_forensic #Intertech_Lebanon #Centre_international_pour_le_développement_des_politiques_migratoires (#ICMPD) #technologie #transfert_de_technologies #gestion_des_frontières #frontières #contrôles_frontaliers #programme_de_gestion_des_frontières_pour_la_région_Maghreb #XRY #detective #Pegasus #téléphones_portables #smartphone #piratage_numérique #Collège_européen_de_police (#CEPOL) #formation #police #social_hacking #hacking #réseaux_sociaux #biens_à_double_usage (#BDU) #répression_interne #Alexandre_Taleb

  • Biometric data in large EU IT systems in the areas of borders, visa and asylum – fundamental rights implications

    The EU has developed common rules for managing external borders, for issuing visas and for dealing with asylum requests. These rules require cooperation between EU Member States, including the exchange of personal data concerning third-country nationals. The EU has developed three large scale IT systems to exchange personal data in the areas of asylum, borders and visa: #Eurodac, #SIS II (#Schengen_Information_System) and #VIS (#Visa_Information_System). This project will analyse the fundamental rights implications of inserting, storing and using biometric data – such as fingerprints – in these IT systems. Both the negative as well as the positive fundamental rights implications will be studied.

    http://fra.europa.eu/en/project/2014/biometric-data-large-eu-it-systems-areas-borders-visa-and-asylum-fundamen
    #biométrie #surveillance #frontières #surveillance_frontalière #contrôles_frontaliers #visa #asile #migrations #réfugiés #Schengen #données_biométriques #empreintes_digitales #droits_humains #droits_fondamentaux #rapport

    Mais je ne trouve pas le rapport à télécharger...

    Sous “publications”, par contre, d’autres documents intéressants:
    Fundamental rights implications of the obligation to provide fingerprints for Eurodac

    Processing biometric data for immigration, asylum and border management purposes has become common. This focus paper looks at measures authorities can take to enforce the obligation of newly arrived asylum seekers and migrants in an irregular situation to provide fingerprints for inclusion in Eurodac.

    http://fra.europa.eu/en/publication/2015/fundamental-rights-implications-obligation-provide-fingerprints-eurodac

    #Smart_Borders Pilot Project Technical Report Annexes
    https://www.eulisa.europa.eu/Publications/Reports/Smart%20Borders%20-%20Technical%20Annexes.pdf
    #frontières_intelligentes

    • Europe: l’enjeu des #données_mobiles des migrants

      Les téléphones portables sont de véritables lignes de vie pour les migrants. Outils de documentation, systèmes de navigation, mais aussi et surtout moyens de communication, ils leur permettent d’établir un contact régulier avec leurs proches, les passeurs, et toute autre personne susceptible de les aider dans leur périple. Mais justement parce qu’ils leur permettent de rester connectés, les téléphones portables exposent aussi les migrants à de véritables risques. Parmi eux, l’exploitation de leurs données mobiles par les autorités de certains pays européens, qui peut permettre de retracer leur parcours ou vérifier leur identité.

      Lorsqu’ils sont contraints de quitter leur pays d’origine, des milliers de migrants laissent derrière eux leurs foyers avec pour seuls bagages quelques billets, et un téléphone portable. Juste de quoi leur permettre d’atteindre l’Europe. Être connecté est un point essentiel dans une situation de migration forcée, pour rester en contact avec ses proches, mais aussi pour pouvoir joindre les secours.

      Pour des questions de mobilité, de localisation et de sécurité, les téléphones sont donc des outils indispensables aux migrants, mais pas seulement. Selon Wired UK, la déclinaison britannique du mensuel américain Wired, certains gouvernements européens utilisent les téléphones portables des migrants et en extraient les données mobiles de #géolocalisation et de #messagerie.

      Des entreprises spécialisées dans l’extraction de données

      « Ça ne me surprendrait pas, affirme Carleen Maitland, professeur associée à l’université des sciences de l’information et technologie de Pennstate. Il y a 20 ans déjà, si quelqu’un faisait une demande d’asile, les agents de l’immigration demandaient des preuves pour vérifier les propos des demandeurs. C’est extrêmement inquiétant, et décevant pour des gens qui ont déjà tout perdu de devoir perdre, en plus, leurs #souvenirs_numériques ».
      –-> #audition, donc. Et #vraisemblance

      Un acte rendu possible par la recrudescence d’entreprises spécialisées dans ce domaine, comme par exemple au Royaume-Uni. Là-bas, plusieurs entreprises possèdent même des contrats avec les forces de police britanniques, comme le révèle un rapport de Privacy International, une organisation non gouvernementale basée à Londres, militant pour le droit à la vie privée.

      Selon l’une de ces sociétés, MSAB, 97% des forces de police britanniques utiliseraient le logiciel #XRY, donnant même un accès aux données supprimées des appareils mobiles, qu’il s’agisse de smartphones, de #modem_3G, de #GPS ou encore de #tablettes.

      Manque de transparence

      Aujourd’hui, Privacy International n’a pas la preuve que les forces de police ont recours à ce type de pratique envers les migrants, et ce malgré les révélations du journal The Guardian en 2016, statuant que le Home office, le ministère de l’Intérieur britannique, pouvait bel et bien avoir accès aux données mobiles des téléphones des migrants soupçonnés d’avoir commis un crime. Mais sur quels critères ? Le problème pour Privacy International : un manque de transparence sur cette question, régulée par une loi, selon eux, obsolète - la loi sur la police et les preuves pénales, datant de 1984. Elle accorde à la police le pouvoir d’exiger « n’importe quelle information stockée sous toute forme électronique ».

      « Nous craignons que les données mobiles des migrants soient extraites de leurs téléphones portables quand ils sont détenus dans des centres de rétention, ou lorsqu’ils passent d’un centre à un autre (au Royaume-Uni), sans que personne ne le sache vraiment », s’inquiète Millie Graham Wood, avocate au sein de Privacy International. « La loi sur laquelle ils disent s’appuyer est inadéquate et inapplicable aux nouvelles technologies », ajoute-t-elle.

      Un volume d’informations important

      Une inquiétude d’autant plus légitime lorsque l’on sait à quelles informations peuvent accéder les services de police britanniques quand ils ont recours à la technologie de #Cellebrite : les numéros de chacun des contacts enregistrés dans le téléphone, le journal d’appel, les messages textes et images envoyés, toutes les vidéos et images ainsi que leur date et heure de création (parfois même accompagnées de leur géolocalisation), les fichiers audio, les e-mails, les informations de navigation, les données GPS, les messages et contacts des applications de réseaux sociaux, tous les réseaux bluetooth auxquels a été connecté le téléphone, les codes de déverrouillages (qu’il s’agisse de chiffres ou de schémas), et même les données supprimées.

      « Ils n’ont aucune idée du volume d’informations qui peut leur être pris, et comment cela pourrait être utilisé contre eux dans le futur », explique Millie Graham Wood. D’autant que les informations trouvées dans le téléphone ne sont pas forcément précises et fiables à 100%. « Avec ce manque de transparence autour de la question de la provenance des données des migrants et de leur utilisation, il y a un risque d’erreur judiciaire, qui pourrait conduire à des expulsions à cause de ce qu’on a trouvé sur les téléphones et qui pourrait s’avérer incorrect. »

      Mais le #Royaume-Uni n’est pas le seul pays d’Europe où les données mobiles peuvent se retourner contre les migrants. En #Allemagne, la loi est plus claire : depuis le 18 mai 2017, les autorités peuvent examiner les #métadonnées des migrants potentiels et déterminer dans quels pays ils ont été, et à quel moment - vérifier, donc, leurs #témoignages lors de leur demande d’asile en cas de doute.

      Selon Wired, les autorités allemandes ont recours à un logiciel informatique appelé #Atos, qui utilise les technologies de deux entreprises spécialisées dans l’analyse forensique des téléphones, #T3K... et MSAB. Une combinaison d’outils qui permet d’accéder aux métadonnées contenues dans les téléphones portables.

      Des politiques différentes en Europe

      En Allemagne, la loi sur la surveillance des téléphones ne peut s’appliquer que dans le cas où l’identité ou la nationalité d’un demandeur d’asile ne peut pas être prouvée, et s’appuie sur la section 15a de l’Asylum Act, selon Annegret Korff, porte-parole de l’Office allemand des migrations (BAMF), interrogée par confrères du site Infomigrants. Seul le BAMF peut ensuite traiter ces données.

      En 2017, la #Belgique s’est aussi inspirée de son voisin allemand ; au mois de novembre, la Chambre a adopté la réforme du droit d’asile du secrétaire d’Etat Theo Francken. Un texte qui donne aux autorités la possibilité d’inspecter les téléphones portables des demandeurs d’asile, mais aussi d’éplucher leurs profils sur les réseaux sociaux afin de vérifier le récit du candidat quant à son parcours. L’objectif est aussi de contrôler leur #identité s’ils ne possèdent pas de documents pouvant la prouver. En cas de refus de rendre accessible son téléphone portable et ses réseaux sociaux, le demandeur d’asile peut être enfermé.

      Même chose en #Turquie. Là-bas aussi, les autorités se penchent sur les profils des migrants, dès leur passage à la frontière avec la Syrie. C’est ce que l’on peut lire dans un article de Marie Gillespie, professeur de sociologie à l’Open University du Royaume-Uni, et Souad Osseiran, anthropologiste spécialisée sur les questions de migrations et réfugiés en Turquie, ainsi que Margie Cheesman, de l’université d’Oxford au Royaume-Uni. Ils ont interrogé Saleem, qui témoigne : « quand je suis arrivé à la frontière en Turquie, le garde a pris mon téléphone et m’a demandé mon mot de passe Facebook. Au début, je ne voulais pas lui donner parce que j’avais peur, mais ils m’ont mis en prison pendant 15 jours, et m’ont frappé. Ils avaient pris mon téléphone, et j’étais coincé. »

      Dans l’article, on apprend aussi que la #surveillance en ligne peut continuer une fois les frontières européennes passées, puisque les autorités demandent aux demandeurs d’asile des informations à propos de leur compte #Facebook, les incitant à « nettoyer » leurs profils.

      La #France adopte, elle, une position différente de ses voisins : les autorités ne peuvent surveiller les données mobiles des migrants pour des procédures administratives telles que des demandes d’asile, sauf dans le cadre de la lutte contre le #terrorisme - où n’importe quelle personne suspectée peut être mise sur écoute.

      Mais alors pourquoi de telles différences de pratiques entre les pays européens ? Interrogé par Infomigrants en mars 2018, le Bureau des migrations et des affaires intérieures de la Commission européenne a répondu que le droit européen ne réglementait pas cette question. Chaque Etat-membre est donc en mesure de décider si oui ou non les demandeurs d’asile doivent remettre leur téléphone portable aux autorités, et s’ils font appel à des entreprises comme #MSAB. La firme résume d’ailleurs bien quelles sont ses possibilités en matière d’exploitation des données : « si vous avez accès à une #carte_SIM, vous avez accès à la vie entière d’une personne ».

      http://www.rfi.fr/europe/20180730-europe-donnees-mobiles-migrants-immigration-portables
      #smartphones #téléphones_portables #SIM