Le droit universel au respect de la vie privée, inscrit dans le droit international relatif aux droits de l’homme, est de plus en plus dépendant de l’accès privilégié à la sécurité numérique. Ce lien n’est nulle part démontré plus clairement que dans l’expérience des organisations de la société civile (OSC).

Comme détaillé dans le rapport de Citizen Lab récemment publié, les acteurs de la société civile sur lesquels le public compte pour surveiller les abus de pouvoir et faire progresser la cause des droits de l’homme– entre autres les organisations non gouvernementales, les militants, les médias et les journalistes indépendants– font régulièrement l’objet d’attaques numériques ciblées qui nuisent à la vie privée et compromettent des informations sensibles. Ces attaques incluent des emails malveillants qui peuvent infecter l’ordinateur ciblé quand les pièces jointes ou les liens sont ouverts, ou des codes malveillants diffusés via des sites web compromis.

Les OSC sont ciblées continuellement en raison de la nature politique de leur travail, y compris par les cybercriminels qui visent les entreprises et les agences gouvernementales. Cependant les OSC sont souvent les moins aptes à atteindre des niveaux adéquats de sécurité numérique en raison d’un manque de ressources et d’accès à l’expertise technique. Parallèlement, les débats publics autour de la cybersécurité ont largement ignoré les préoccupations des OSC, privilégiant plutôt l’espionnage numérique et les attaques à l’encontre de l’industrie et des gouvernements. Une nouvelle fracture numérique s’ouvre, où la sécurité numérique est une question de « nantis » et de « démunis ».

Dans une étude des menaces numériques ciblées contre les OSC qui a durée pendant quatre ans, Citizen Lab a cherché à explorer de manière plus approfondie l’expérience des OSC dans ce domaine. Nous avons examiné les attaques menées contre un groupe de dix organisations non gouvernementales et de médias en utilisant l’analyse technique et contextuelle. Les organisations de notre étude se préoccupaient toutes des problèmes de droits de l’homme en lien avec la Chine et/ou avec le Tibet, ou étaient des organisations de défense des droits de l’homme intervenant dans une multitude de régions et de problématiques.

Targeted digital threats have also effectively extended the reach of the state beyond borders, to locales where vulnerable groups, such as exile or diaspora communities, may have thought themselves safe.

Nous avons trouvé que les acteurs animés par des motivations politiques et qui cherchent un accès permanent et non détecté à leurs réseaux avaient ciblé l’ensemble de ces dix groupes. Les prouesses techniques utilisées contre eux, bien que généralement peu sophistiquées, permettaient la surveillance par les cybercriminels et la transmission furtive d’informations sur de longues périodes de temps. Les méthodes utilisées pour faire passer les emails malicieux comme légitimes, tromper les cibles et les amener à ouvrir des logiciels malveillants (ce qu’on appelle « l’ingénierie sociale ») étaient bien conçues, suggérant une forte familiarité de la part des auteurs des attaques avec le travail, les intérêts, et les contacts de leurs cibles.

Les menaces numériques ciblées n’ont pas seulement porté préjudice à la mission et à la communication des OSC en représentant une nuisance, une ponction des ressources, ou un risque sur la sécurité individuelle. Elles ont également efficacement étendu la portée des États (ou d’autres auteurs de menaces) au-delà des frontières, dans des endroits où les groupes vulnérables, comme les exilés ou les diasporas, pensaient être en sécurité. Les résultats de notre recherche et l’ensemble de nos données ouvrent une petite fenêtre sur ce qui apparaît comme étant un problème bien plus grand, et insuffisamment signalé, touchant les OSC.

Pour s’attaquer à ce problème, nous devons élargir les termes et le cadre du débat et explorer plus en détails le lien entre le droit au respect de la vie privée et l’accès à la sécurité numérique.

L’Assemblée générale des Nations Unies a déclaré dans une résolution sur le droit au respect de la vie privée à l’ère numérique que « …les mêmes droits dont les personnes jouissent hors ligne doivent également être protégés en ligne, y compris le droit au respect de la vie privée. »

Cependant, pour que ce droit au respect de la vie privée ait un sens à l’ère numérique, la question complexe et fondamentale de l’inviolabilité et de la sécurité des communications numériques doit être posée. Les États ont cherché, et même créé, des façons de compromettre les données et les réseaux pour faciliter l’application des lois ou en faveur d’intérêts géopolitiques, insérant des failles dans la conception des programmes nuisant à la sécurité générale de l’environnement en ligne. Ils ont facilité la croissance d’un marché privé pour les logiciels espions qui donnent aux régimes, indépendamment de leur respect des droits de l’homme, des capacités très étendues d’espionnage numérique. Ces facteurs sapent encore davantage la sécurité numérique déjà menacée par l’activité criminelle et l’omniprésence de logiciels et matériels non sécurisés. Alors que certains individus et entités, y compris de grandes entreprises, possèdent l’expertise technique, l’influence politique, et/ou les actifs financiers pour défendre leurs systèmes, un grand nombre des acteurs qui font régulièrement  l’objet de ciblage numérique, comme les OSC, n’ont pas de telles ressources à leur disposition. À ce jour, les développements suggèrent que la vie privée ne va jamais vraiment exister sans un effort concerté pour sécuriser et protéger contre les intrusions les logiciels et le matériel que les gens utilisent pour communiquer. Des mesures à la fois techniques et d’ordre politique sont nécessaires pour freiner la possibilité d’exploiter des technologies d’une importance vitale.   

La vie privée est-elle un nouveau luxe qui ne serait à la portée que de ceux ayant les moyens de protéger les informations qu’ils détiennent dans un environnement numérique accaparé par les intérêts stratégiques concurrentiels ? Alors la vie privée est-elle un nouveau luxe qui ne serait à la portée que de ceux ayant les moyens de protéger les informations qu’ils détiennent dans un environnement numérique accaparé par les intérêts stratégiques concurrentiels ? Il est désormais temps de réfuter cette proposition. Une approche globale de la sécurité numérique exige l’action d’une multitude de secteurs.

Les OSC et les donateurs devraient considérer le fait de travailler ensemble pour collecter et agréger les données (débarrassées de toute information d’identification) concernant les incidents en matière de menace numérique au sein de la société civile. Ceci permettra de mieux comprendre la nature et l’ampleur du problème. Les OSC devraient également chercher à favoriser une culture propice à la prise de conscience en matière de sécurité numérique parmi l’ensemble de leur personnel, que les donateurs peuvent encourager en apportant un soutien  appuyé en faveur de l’amélioration de la sécurité numérique à long terme par les OSC.

Les gouvernements devraient rehausser le niveau de priorité et accroître la visibilité des menaces numériques ciblées contre la société civile dans leur politique intérieure et dans leur diplomatie et chercher des manières de faire monter les coûts pour les cybercriminels. Ils devraient également limiter le marché commercial des logiciels espions et minimiser les risques numériques au sein de ce secteur. Ils devraient lutter contre la légitimation du ciblage des entités d’intérêt public non étatiques à des fins stratégiques ou d’intelligence économique.

Et les entreprises sont en mesure de jouer un rôle critique pour s’attaquer à ce problème. Les entreprises dans le domaine des TIC devraient incorporer un cryptage de bout en bout dans leurs produits et services. Elles devraient explorer une approche « bénévole » au partage de l’expertise technique ainsi que de nouvelles solutions en matière de concession de licence avec les OSC et aider ces dernières à mettre à jour leurs capacités techniques et à réduire les risques liés à l’utilisation de logiciels non sécurisés et obsolètes. Ces entreprises qui produisent ou distribuent des technologies pouvant être utilisées à mauvais escient par des régimes oppresseurs, tels que les logiciels espions, doivent adopter des mécanismes pour prévenir les risques de complicité dans les violations de droits.

Garantir la sécurité numérique de la société civile est un test concret pour le droit au respect de la vie privée pris dans son ensemble. La vie privée a longtemps été reconnue comme étant un droit précurseur, une condition préalable au véritable exercice des libertés d’expression et d’association ainsi que des autres droits de l’homme. Nous devons maintenant nous assurer que les conditions nécessaires à la vie privée elle-même soient réunies ou nous risquons un futur dans lequel tous les droits font face à une mort numérique.