Piratage manqué d’Amnesty International : la société civile cible de la cybercriminalité

Site internet léché, page Facebook très suivie, compte Twitter... l'organisation Amnesty International (AI) a été victime d'une tentative d'espionnage d'une rare sophistication, via une fausse ONG créée pour la piéger. Un avertissement pour la société civile, qui doit investir dans sa cyberprotection.
Voiceless Victims, « organisation pour la défense des droits humains », avait pourtant tout d'une vraie structure. Un slogan : « Rendre la parole à ceux qui ont été réduits au silence. » Une équipe avec de bonnes références, selon leurs CV en ligne. Des vidéos onéreuses pour attester de son engagement. Un article d'al-Jazira vantant ses mérites. Plus de 6 000 « followers » sur les réseaux sociaux. Et même une adresse à Lille. « Mais tout était bidon », résume Sabine Gagnier, chargée de plaidoyer pour Amnesty et une des cinq cibles de l'attaque. Toutes avaient participé, « de près ou de loin », à un rapport dénonçant les abus commis sur des migrants construisant au Qatar les stades devant accueillir la Coupe du monde de football de 2022, précise-t-elle.
Une vraie-fausse communicante de Voiceless Victims les avait approchées en mars. Des courriels avaient été échangés pendant plusieurs mois. Mais ce n'est qu'en août que l'attaque a eu lieu. « Quand j'ai ouvert la pièce jointe d'un de leurs mails, quelque chose s'est allumé sur mon écran. Ça m'a bloqué », se souvient James Lynch, directeur adjoint d'AI. Les systèmes de sécurité d'Amnesty, détectant une tentative d'intrusion, sont alors entrés en service.
La célèbre organisation non gouvernementale a ensuite enquêté sur la supercherie. « L'attaque, dans sa présentation, était bien plus sophistiquée que celles que nous subissons généralement », remarque Sherif Elsayed Ali, responsable technique pour AI. « L'effort mis dans le mécanisme visant à piéger était surprenant » et a nécessité « des moyens importants », à mille lieues de banales tromperies à l'usurpation d'identité, confirme Gérôme Billois, un expert en sécurité informatique.

« Astroturfing »
Le procédé utilisé, nommé « astroturfing », qui vise à gêner un adversaire ou pirater son système informatique en utilisant « le masque d'une noble cause », n'est « maîtrisé » que par une petite dizaine d'entités, estime François-Bernard Huyghe, directeur de recherche à l'Institut de relations internationales et stratégiques (Iris) et spécialiste de la Toile. Ce qui pose la question du commanditaire. Sollicité par Amnesty, le gouvernement du Qatar a répondu qu'il n'a « absolument rien à voir avec la création ou les actions de Voiceless Victims ».
Les autorités des Émirats arabes unis, qu'Amnesty qualifie de « coupable possible » car elles ont déjà cherché, par des biais similaires, à nuire au Qatar avec qui elles entretiennent des relations houleuses, n'ont de leur côté pas répondu à l'ONG. « Mais ça peut aussi être une entreprise », telle une multinationale du BTP participant à la construction des infrastructures sportives qataries, qui pourrait chercher à « confondre » la société civile, imagine M. Huyghe.
Cette attaque « doit attirer l'attention de la société civile sur les risques du cyberespionnage » et générer une « prise de conscience », affirme Gérôme Billois. « Plus on est engagé dans des luttes idéologiques, plus il faut s'attendre à subir des attaques d'adversaires idéologiques passant par des moyens informatiques », renchérit François-Bernard Huyghe.
Ces dernières années, l'Armée électronique syrienne, un groupe affilié au régime de Bachar el-Assad, a piégé de multiples sites de médias internationaux, Human Rights Watch, et, déjà, Amnesty International. Cette dernière a aussi eu confirmation en 2015 par la justice britannique que les autorités de Londres l'espionnaient « illégalement ».
D'où des « investissements significatifs » dans sa cyberprotection. Des investissements qui, selon son responsable technique, l'ont « directement » sauvée du piège Voiceless Victims.
Joris FIORITI/AFP