Les chercheurs en sécurité informatique d’Amnesty International expliquent avoir identifié deux logiciels espions envoyés à un militant des droits de l’homme au Togo dans un rapport publié ce 7 octobre, dont Ecovisionafrik.com a eu copie. L’équipe de chercheurs a remonté la piste jusqu’au groupe Donot Team, déjà connu pour des attaques informatiques en Asie du Sud-Est.
Rappel des faits
Un militant des droits de l’homme résidant au Togo reçoit une série de messages étranges sur l’application WhatsApp. Son correspondant, qui lui écrit en anglais depuis un numéro indien, tente de se faire passer pour une connaissance et lui demande d’installer une autre application de messagerie pour poursuivre la conversation.
Méfiant, l’activiste contacte Amnesty International et transmet aux experts informatiques de l’organisation le fichier d’installation. Après analyse, la « messagerie » en question dissimule surtout le logiciel espion StealJob, capable d’aspirer, à l’insu de son utilisateur, de très nombreuses informations, comme la géolocalisation ou les SMS, de capter les messages WhatsApp en temps réel et d’enregistrer les appels passés par le téléphone.
Moins d’un mois plus tard, un autre message suspect parvient au même activiste, cette fois sur sa boîte d’e-mails. Un peu plus subtil, et rédigé cette fois en français, le courriel l’incite à télécharger une pièce jointe, qui contient elle aussi un logiciel espion, pour Windows cette fois, YTY. YTY comme StealJob sont des logiciels relativement peu courants, déjà reliés par le passé à un groupe baptisé Donot Team, soupçonné d’opérer principalement depuis et vers l’Asie du Sud-Est.
Liens piégés et fichiers vérolés
Les chercheurs en sécurité informatique d’Amnesty international ont pu remonter la piste laissée par les pirates qui ont visé ce militant des droits de l’homme au Togo. Ils ont découvert une infrastructure, partiellement mal dissimulée et utilisée pour envoyer des liens piégés et des fichiers vérolés à des centaines de destinataires. Les adresses IP (Internet Protocol, l’adresse d’une machine sur le réseau) de ces cibles étaient dans leur écrasante majorité située au Pakistan, au Cachemire et, dans une moindre mesure, en Inde et au Bangladesh. Une distribution qui correspond aux ciblages de Donot Team déjà observés par le passé.
Les serveurs identifiés par les chercheurs d’Amnesty International sont utilisés par une entreprise privée, Innefu Labs, située en Inde. Sur son site, cette dernière se présente comme une « start-up de recherche et développement en cybersécurité » et liste parmi ses clients l’armée indienne et la Border Security Force (BSF), la puissante force de police chargée de la surveillance et de la défense des frontières du pays avec le Pakistan et le Bangladesh. Les CV et profils LinkedIn de plusieurs employés de l’entreprise semblent indiquer que la conception ou l’amélioration de logiciels espions font partie de leurs attributions.
Sollicitée par Amnesty International, Innefu Labs nie, dans un courrier, « tout rapport avec les logiciels espions associés au groupe Donot Team » et dit ne pas avoir constaté d’activité en lien avec ses logiciels sur ses serveurs. L’ONG, dans son rapport publié le 7 octobre, demande à l’entreprise de se soumettre à un audit indépendant, et au gouvernement indien d’ouvrir une enquête sur les activités de Donot Team – « la surveillance numérique d’activistes étant, sans contestation possible, illégale », écrit Amnesty International.
Le Togo déjà client du logiciel espion Pegasus
Le ciblage du militant des droits de l’homme, à la fin de 2019, est survenu à une période particulièrement sensible au Togo, quelques mois après l’adoption de plusieurs lois limitant les libertés publiques et notamment la liberté d’expression, et deux mois avant une élection présidentielle. Le président sortant, Faure Gnassingbé, se présentait pour un quatrième mandat, après deux années d’un très fort mouvement d’opposition baptisé Togo debout, réprimé dans la violence. L’opposition continue de contester les résultats du scrutin, remporté en février par M. Gnassingbé avec plus de 70 % des voix selon les résultats officiels. Plusieurs journaux d’opposition ont été contraints de fermer au début de 2020