Les technologies civiles de sécurité (TCS) constituent une industrie en plein essor mondial (trois milliards de dollars de chiffre d’affaires par an). Les entreprises marocaines tentent elles aussi d’en tirer profit, mais dans un pays où ces TCS engendrent un risque bien réel d’atteinte aux droits humains, notamment en matière de liberté d’expression sur internet et de protection de la vie privée.
Il est aujourd’hui avéré que ces TCS peuvent être utilisées à des fins autres que la protection des citoyens, par exemple en mettant sous surveillance des journalistes, des défenseurs des droits humains, voire l’ensemble de la population d’un pays…
L’implication d’entreprises marocaines dans l’exportation de TCS
Hacking Team, une entreprise italienne, qui décrit ses technologies comme « offensives », a fait appel à des entreprises proches des officines marocaines de renseignements pour leur vendre pour plus de trois millions d’euros son « Remote Control System » (RCS), commercialisé sous le nom « Da Vinci ». Un logiciel qui permet la capture directe de l’information, dès sa saisie sur ordinateur, avant même qu’elle soit cryptée, et le renvoi de toutes les données collectées par un cheval de Troie concocté par Hacking Team elle -même, envoyé et installé frauduleusement sur le terminal de la cible.
La correspondance interne de l’entreprise italienne, récemment rendue publique sur le site Wikileaks, révèle que, jusqu’en 2014, les services marocains, à savoir la Direction générale de la Surveillance du Territoire (DGST) et le Conseil supérieur de la Défense nationale (CSDN), ont passé plusieurs commandes auprès de la filiale marocaine d’Al-Fahad Security Systems (FSSYS), elle-même filiale du groupe émirati Etimad ; un certain Faiçal Tanarhte, ex-ingénieur de l’Agence nationale de Réglementations des Télécommunications (ANRT – Maroc) et actuel cadre au sein de FSSYS Maroc se chargeant du service après-vente auprès de la DGST.
Une autre entreprise casablancaise, Genmed, spécialisée dans l’importation d’outils d’analyse technico-légale, tente depuis plus d’un an, par l’intermédiaire de son directeur général, Omar Guessous, de décrocher un contrat d’une valeur de cinq cent mille euros auprès de la Gendarmerie royale, par la vente des logiciels-espions de Hacking Team. Un premier règlement d’une valeur de cinquante-cinq mille euros a ainsi été effectué en 2014, sous la forme de frais de consultance au profit d’une société écran, Soma Technics, domiciliée à Dubai, et ce sur instruction d’Omar Guessous.
Cette technologie, conçue uniquement pour les agences gouvernementales et les services chargés de faire respecter la loi pour combattre la cybercriminalité, a pourtant été utilisée en 2012 contre les blogueurs marocains du site Mamfakinch, un collectif qui oeuvre au sein du Mouvement du 20 février (M20F), la « version marocaine » (en modèle réduit) du printemps arabe.
Des TCS utilisées contre des journalistes et des défenseurs des droits humains
Le 20 juillet 2012, après avoir été récompensée par le Breaking Border Awards, la rédaction de Mamfakinch recevait un email intitulé « Dénonciation », accompagné d’une pièce jointe, « scandale (2).doc », et de la requête suivante : « Svp ne mentionnez pas mon nom ni rien du tout je ne veux pas d’embrouilles. »
Le cheval de Troie découvert dans la pièce jointe par des techniciens du Parti pirate marocain (PPM), proche du collectif Mamfakinch, a été analysé par des experts en sécurité informatique qui ont trouvé des bribes de code mentionnant le nom de Hacking Team et le RCS, présenté comme une « suite de hacking pour l’interception gouvernementale capable de pirater n’importe quel système informatique, afin de pouvoir surveiller, espionner et récupérer tout type de données sur les ordinateurs infectés ».
Surveillance vs. surveillance
Depuis octobre 2014, un mystérieux compte Twitter au nom de « Chris Coleman » distille des documents confidentiels propriété de la diplomatie marocaine, hackés sur des comptes de messagerie appartenant à de hauts responsables du ministère des Affaires étrangères et de la Coopération (MAEC). Aussi, la Direction générale de la Sécurité des Systèmes d’Information (DGSSI) de l’armée entend restaurer la sécurité du système de messagerie du MAEC –et par le fait en prendre le contrôle-, dont, semble-t-il, la vulnérabilité est due à l’utilisation de mots de passe par défaut insuffisamment sécurisés et, qui plus est, affectés à plusieurs comptes.
De son côté, la Direction générale de la Sécurité Nationale marocaine (DGSN) avait décidé, en 2014, de lancer un appel d’offres visant à sécuriser son propre système de messagerie, en l’hébergeant sur des serveurs internes, rompant ainsi avec son ancien système externalisé et géré par l’opérateur historique Maroc Télécom.
Et le droit dans tout ça ?
Depuis mai 2012, l’entreprise française Amesy (une filiale de Bull) fait l’objet d’une instruction judiciaire pour complicité d’actes de torture en Libye, pour avoir fourni au régime de Kadhafi un système de surveillance des communications et de l’internet.
Rappelons que la réglementation européenne (2008/944/PESC) relative aux technologies et équipements militaires (TEM) permet aux États membres de l’Union européenne de refuser l’autorisation d’exportation de ces technologies en cas de risque manifeste d’utilisation à des fins de répression interne ou servant à commettre des violations graves du droit international humanitaire (DIH).
Toutefois cette réglementation ne concerne pas les TCS.
Il existe donc aujourd’hui un vide juridique qui laisse les entreprises face à une alternative : se soumettre aux lois du pays dans lequel elles proposent leurs services et risquer de se rendre complices d’atteinte aux Droits de l’Homme ; ou refuser de coopérer et courir alors le risque de perdre un marché important.
Le rôle de la société civile, face à l’utilisation abusive des TCS
Bien que des organisations non gouvernementales comme Reporters sans Frontière (RSF) classe les entreprises agissant dans ce domaine comme des « ennemis d’internet », il semble que le seul moyen dont dispose actuellement les défenseurs des droits numériques contre l’exportation et l’utilisation abusive des TCS est d’inciter les entreprises productrices à adopter un comportement éthique dans la commercialisation de ces technologies afin de préserver les Droits de l’Homme et de protéger les libertés fondamentales. À titre d’exemple, RSF demande des sanctions à l’encontre des entreprises qui coopèrent avec les dictatures.
Par ailleurs, Privacy International (PI) a menacé en 2012 le gouvernement britannique d’une action judiciaire s’il ne renforçait pas son contrôle sur l’exportation des TCS vers des régimes autoritaires. De plus, la Fédération internationale des Droits de l’Homme (FIDH) et la Ligue des Droits de l’Homme (LDH) ont dénoncé la société Qosmos pour transfert de technologies sensibles au régime de Damas…
Par leurs actions, les ONG jouent également un rôle important en influençant les États et les institutions. Toutefois, les lois du marché et les intérêts souterrains prévalent souvent sur les bonnes intentions déclarées des gouvernements.
La prise de conscience des politiques
Au niveau européen, Viviane Reding, ancienne vice-présidente de la Commission européenne, députée européenne et rapporteur de l’Accord sur le Commerce des Services (TISA), avait proposé, en 2008 déjà, le « Global Online Freedom Act » (GOFA) dont l’objet était de protéger la liberté sur internet par les États européens en instaurant, entre autres, une obligation pour les entreprises de mettre en place des standards minimum de bonne conduite des affaires par le contrôle des exportations des TCS et la prise de sanctions contre les régimes qui restreignent l’utilisation d’internet. Le projet n’a pas abouti…
La Commission européenne envisage cependant de certifier les TCS en utilisant les concepts de « privacy by design » et « privacy by default », pour que la société civile puisse de nouveau avoir confiance en ces technologies et ne les rejette pas.
Plusieurs autres initiatives ont suivi, dont celle du député allemand Jorg Leichtfried, qui défend l’instauration d’un système de notification, afin que soit publié le détail des technologies exportées, et ce en amont de chaque vente (Advanced notification system).
Mais les lobbies privés et étatiques semblent avoir systématiquement raison de ces initiatives.
Quid du Maroc ?
Le groupe parlementaire du Rassemblent national des Indépendants (RNI) a présenté en juillet 2014 un projet de loi sur la protection de la vie privée sur internet. Le texte prévoit que toute personne coupable d’un acte portant atteinte à la vie privée de quelque personne encourt de un à cinq ans de prison ou une amende, de cinquante mille à cent mille dirhams. Le texte précise entre autre que la divulgation de données privées requérant l’anonymat serait passible de six mois à un an de prison et d’une amende de dix mille à vingt mille dirhams. Le texte sera-t-il cela dit appliqué ?
De plus, le code pénal marocain prévoit que tout fonctionnaire public, tout agent du gouvernement, tout employé ou préposé du service des postes qui ouvre, détourne ou supprime des lettres confiées à la poste ou qui en facilite l’ouverture, le détournement ou la suppression encoure une peine d’emprisonnement de trois mois à cinq ans et est passible d’une amende de 200 à 1.000 dirhams.
La peine vaut également pour tout employé ou préposé du service du télégraphe qui détourne ou supprime un télégramme ou en divulgue le contenu. Le coupable est, de plus, interdit de toutes fonctions ou emplois publics pendant cinq ans au moins et dix ans au plus.
Ces sanctions devraient être adaptées au détournement frauduleux des correspondances sur l’espace digital et plus globalement s’inscrire dans une législation protégeant les droits numériques des citoyens.
Dans ce cadre, l’Association marocaine des Droits humains (AMDH), en partenariat avec l’Association des Droits numériques (ADN), pilote un projet participatif financé par le Fonds des Nations unies pour la Démocratie (FNUD), dont l’un des objectifs est de parvenir à une proposition législative à même d’encadrer l’espace digital en faveur des libertés fondamentales.
La législation n’est cependant pas le principal souci des défenseurs des Droits de l’Homme et des libertés individuelles.
Qu’en sera-t-il, en effet, de la réalité de la mise en œuvre des textes ?
Le Maroc a promulgué un grand nombre de lois en faveur de la protection des Droits de l’Homme, en direction, notamment, de l’Union européenne (qui les a salué, naïvement… ou non), mais demeuré sans suite en termes de mise en œuvre effective.