Google+

Le Maroc à l’épreuve des technologies civiles de sécurité

3 avril 2017 par Rida Benotmane

TECHNOLOGIES CIVILES DE SECURITE

Les technologies civiles de sécurité (TCS) représentent une industrie mondiale en pleine expansion (trois milliards de dollars de chiffre d’affaires par an[1]). Les entreprises marocaines tentent d’en tirer profit[2]. Cependant l’importation de ce type de technologies et leurs risques posent le problème de leur légitimité. En effet, l’utilisation des TCS représente un risque réel d’atteinte aux droits humains, notamment en matière de liberté d’expression sur internet et de protection de la vie privée. Il est aujourd’hui avéré que ces TCS peuvent être utilisées à des fins autres que la protection des citoyens en mettant sous surveillance des journalistes, des défenseurs des droits humains, voire l’ensemble de la population d’un pays.

Le rôle des entreprises marocaines dans l’exportation de TCS.

Hacking team, une entreprise italienne qui décrit ses technologies comme « offensives », a fait appel à des entreprises proches des officines marocaines de renseignements pour leur vendre à plus de trois millions d’euros son Remote Control System (RCS), commercialisé sous le nom DaVinci. Un logiciel qui permet la capture directe de l’information dès sa saisie sur ordinateur, avant même qu’elle soit cryptée et le renvoi de toutes les données collectées par un cheval de Troie concocté par Hacking Team, envoyé et installé frauduleusement sur le terminal de la cible[3].

Les mails internes de l’entreprise italienne récemment rendus publics sur le site Wikileaks révèlent que jusqu’en 2014, la Direction générale de la surveillance du territoire (DGST) et le Conseil supérieur de la défense nationale (CSDN) ont passé commande auprès de la filiale marocaine de Al Fahad Security Systems (FSSYS), elle-même filiale du groupe émirati Etimad. Faiçal Tanarhte, ex-ingénieur de l’Agence nationale de réglementations des télécommunications (ANRT) et  actuel cadre au sein de FSSYS MAROC se chargeait du service après-vente auprès de la DGST[4].

Une autre entreprise casablancaise GEN MED[5], spécialisée dans l’importation d’outils d’analyse technico-légale a tenté à travers son Directeur général Omar Guessous de décrocher un contrat d’une valeur de cinq cent milles euros auprès de la Gendarmerie royale pour lui vendre les logiciels-espions de Hacking Team. Un premier règlement d’une valeur de cinquante cinq mille euros a d’ailleurs été effectué mi-2014 en frais de conseil au profit d’une société écran, Soma Technics domiciliée à Dubai sur instruction d’Omar Guessous.

Des TCS utilisées contre des journalistes et des défenseurs des droits humains

Cette technologie conçue uniquement pour les agences gouvernementales et les services chargés de faire respecter la loi pour combattre la cybercriminalité a pourtant été déployé en 2012 contre des bloggers marocains du site Mamfakinch[6], collectif qui oeuvre au sein du Mouvement du 20 février (M20F), la « version marocaine » (en modèle réduit) du printemps arabe.

Le 20 juillet 2012, après avoir été sacré du Breaking Border Awards,  la rédaction de Mamfakinch recevait un email intitulé Dénonciation, accompagné d’une pièce jointe, scandale (2).doc, et de la phrase énigmatique suivante : «Svp ne mentionnez pas mon nom ni rien du tout je ne veux pas dembrouilles ».

Le cheval de Troie découvert par le Parti pirate marocain (PPM), proche du collectif Mamfakinch a été analysé par des experts en sécurité informatique qui ont  trouvé des bouts de code évoquant le nom de Hacking Team et son RCS présenté comme une « suite de hacking pour l’interception gouvernementale capable de pirater n’importe quel système informatique, afin de pouvoir surveiller, espionner et récupérer tout type de données sur les ordinateurs infectés».[7]

Action, réaction

Depuis qu’un mystérieux compte Twitter du nom de « Chris Coleman » distille depuis octobre 2014 des documents confidentiels de la diplomatie marocaine hackés à partir de comptes de messagerie appartenant à de hauts responsables du ministère des Affaires étrangères et de la Coopération (MAEC), l’armée, à travers sa Direction générale de la sécurité des systèmes d’information (DGSSI) veut récupérer le système de messagerie du MAEC, qui, semble-t-il, connait une vulnérabilité due à l’utilisation de mots de passe par défaut insuffisamment sécurisés et qui plus est affectés à plusieurs comptes[8].

De son côté, la Direction générale de la sécurité nationale (DGSN) décide en 2014 de lancer un appel d’offres visant à sécuriser son système de messagerie en l’hébergeant sur des serveurs internes, rompant ainsi avec son ancien système externalisé et géré par l’opérateur historique Maroc Télécom[9].

Le rôle des ONG contre l’utilisation abusive des TCS

Bien que des organisations non gouvernementales (ONG) comme Reporters sans frontière (RSF) classe les entreprises agissant dans ce domaine comme des « ennemis d’internet »[10], il semble que le seul moyen dont dispose actuellement les défenseurs des droits numériques contre l’exportation et l’utilisation abusive des TCS est d’inciter les entreprises à adopter un comportement éthique dans la commercialisation de ces technologies afin de préserver les droits de l’homme et protéger les libertés fondamentales. A titre d’exemple, RSF demande des sanctions pour les entreprises qui coopèrent avec les dictatures. Par ailleurs, Privacy International (PI) a menacé en 2012 le gouvernement britannique d’une action judiciaire s’il ne renforçait pas son contrôle sur l’exportation des TCS vers des régimes autoritaires. De plus, la Fédération internationale des droits de l’homme (FIDH) et la Ligue des droits de l’homme (LDH) ont dénoncé la société Qosmos pour transfert de technologies sensibles au régime de Damas, …

Par leurs actions, les ONG jouent également un rôle important en influençant les Etats et les institutions.

La position de la justice

Depuis mai 2012, l’entreprise française Amesys, une filiale de BULL a fait l’objet, d’une instruction judiciaire pour complicité d’actes de torture en Libye pour avoir fourni au régime de Kadhafi un système de surveillance des communications et de l’internet.

Rappelons que la réglementation européenne (2008/944/PESC) relative aux technologies et équipements militaires (TEM) permet aux Etats membres de l’Union européenne (UE) de refuser l’autorisation d’exportation de ces technologies en cas de risque manifeste d’utilisation à des fins de répression interne ou servant à commettre des violations graves du Droit international humanitaire (DIH). Toutefois cette réglementation ne concerne pas les TCS. Il existe donc aujourd’hui un vide juridique qui laisse les entreprises face à une alternative : se soumettre aux lois du pays dans lequel elles proposent leurs services et risquer de se rendre complice d’atteinte aux droits de l’homme ; ou refuser de coopérer et courir alors le risque de perdre un marché important[11].

La prise de conscience politique au niveau européen

Au niveau européen, Viviane Reding, ancienne vice-présidente de la Commission européenne, actuelle députée européenne et Rapporteur de l’Accord sur le commerce des services (TISA), avait proposé en 2008,  le Global Online Freedom Act (GOFA) pour protéger la liberté sur Internet par les Etats européens en instaurant, entre autres, une obligation pour les entreprises de mettre en place des standards minimum de bonne conduite des affaires par le contrôle des exportations des TCS et la prévision de sanctions contre les régimes qui restreignent l’utilisation d’internet.

Depuis, la Commission européenne souhaite certifier les TCS en utilisant les concepts de « Privacy by design » et « Privacy by default » pour que la société civile puisse de nouveau avoir confiance en ces technologies  et ne les rejette pas.

Plusieurs autres initiatives ont suivi dont celle du député allemand Jorg Leichtfried qui a pris partie pour l’instauration d’un système de notification afin de  publier les détails sur les technologies exportées en amont de chaque vente (Advanced notification system).

La prise de conscience politique au Maroc

Le groupe parlementaire du Rassemblent national des indépendants (RNI) a présenté en juillet 2014 une proposition de loi sur la protection de la vie privée sur internet. Le texte prévoit que toute personne coupable d’un acte portant atteinte à la vie privée de quelqu’un risque entre un an et cinq ans de prison ou une amende de cinquante mille à cent mille dirhams. Le texte précise entre autre que la divulgation des secrets privés requérant l’anonymat sera passible de six mois à un an de prison et d’une amende de dix mille à vingt mille dirhams.

De plus, le code pénal marocain prévoit que tout fonctionnaire public, tout agent du Gouvernement, tout employé ou préposé du service des postes qui ouvre, détourne ou supprime des lettres confiées à la poste ou qui en facilite l’ouverture, le détournement ou la suppression, est puni d’un emprisonnement de trois mois à cinq ans et d’une amende de 200 à 1.000 dirhams. La peine vaut également pour tout employé ou préposé du service du télégraphe qui détourne ou supprime un télégramme ou en divulgue le contenu. Le coupable est, de plus, interdit de toutes fonctions ou emplois publics pendant cinq ans au moins et dix ans au plus. Ces sanctions devraient être adaptées au détournement frauduleux des correspondances sur l’espace digital et plus globalement s’inscrire dans une législation protégeant les droits numériques des citoyens.

A ce propos, l’Association marocaine des droits humains (AMDH)[12] en partenariat avec l’Association des droits numériques (ADN)[13],  pilote un projet participatif[14] financé par le Fonds des Nations Unies pour la Démocratie (FNUD) dont l’un des objectifs est de parvenir à une proposition législative à même d’encadrer l’espace digital en faveur des libertés fondamentales.

[1] Bhatt Murphy Solicitors, avocats de Privacy International, Letter to the Secretary of State for Business Innovation and Skills, 12 juillet 2012.

[2] Qui vend les logiciels-espions à la DGST, le CSDN et la Gendarmerie ? http://www.africaintelligence.fr/MC-/affaires-reseaux/2015/07/16/qui-vend-les-logiciels-espions-a-la-dgst-le-csdn-et-la-gendarmerie%C2%A0,108084404-ART?LOG=1

[3] Hacking Team. Le Maroc troisième plus gros client http://www.medias24.com/SOCIETE/156398-Hacking-Team.-Le-Maroc-troisieme-plus-gros-client.html

[4] Qui vend les logiciels-espions à la DGST, le CSDN et la Gendarmerie ? Op.cit.

[5] http://www.genmed.ma/

[6] Les yeux du pouvoir. Rencontres avec des citoyens marocains sous-surveillance. https://www.privacyinternational.org/sites/default/files/Les%20Yeux%20du%20Pouvoir.pdf

[7] Jean Marc Manach, L’espion était dans le .doc, http://owni.fr/2012/09/14/lespion-etait-dans-le-doc/

[8] L’armée annexe la messagerie des diplomates, http://www.africaintelligence.fr/MC-/hommes-de-pouvoir/2015/02/12/l-armee-annexe-la-messagerie-des-diplomates,108061121-BRC?CXT=CANP&country=MAROC&LOG=1

[9] La DGSN rapatrie sa messagerie, http://www.africaintelligence.fr/MC-/entreprises/2014/11/06/la-dgsn-rapatrie-sa%C2%A0messagerie,108046570-BRC

[10] http://surveillance.rsf.org/hacking-team/

[11] Marie Fricker-de Beauvoir. Les technologies civiles de sécurité. Mémoire de master Droit & éthique des affaires, 2011-2012. Faculté de droit, Université de Cergy-Pontoise. France.

[11] http://surveillance.rsf.org/hacking-team/

[12] http://www.amdh.org.ma/fr

[13] https://www.facebook.com/raqmiya?fref=ts

[14] http://www.amdh.org.ma/fr/communiques/projet-osf-fr

Publicités

Recevez nos dernières publications

Tags

Agence nationale des réglementations des télécommunications Al Fahad Security Systems Apple Association des droits numériques Blockchain Brevets Certificat de confomité Certificat électronique sécurisé Chris Coleman CJUE CNIL Code du travail Commission Nationale du Contrôle de la Protection des Données à Caractère Personnel Conseil supérieur de la défense nationale Cryptographie Dahir des Obligations et Contrats DaVinci Digital Labor Direction générale de la surveillance du territoire Données personnelles DPO Droit d'auteur Droit du numérique Droit du travail Droit marocain du travail E-commerce E-learning Espionnage Etimad Facebook FAI Faiçal Tanarhte FSSYS MAROC GEN MED Google Hacking Team IBM Iphone Justice Liberté d'expresion Logiciel loi n° 09‐08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel Loi n°31.08 édictant des mesures de protection du consommateur Loi n°53.05 relative à l'échange électronique des données juridiques Mamfakinch Maroc Télécom Numérique Obligation de consultation Omar Guessous Privacy international Propriété intellectuelle Qosmos Qualcomm Remote Control System Reporters sans frontières Responsabilité civile RGPD Robots Russie Santé en ligne Signature électronique Signature électronique sécurisée Soma Technics Streaming Surveillance Taechir Technologies civiles de sécurité Technologies de l'information et de la communication Travail à domicile Trump Twitter Télétravail Uber Vente à distance Vie privée
JurilexBlog | Droit des nouvelles technologies et propriété intellectuelle par Gérard HAAS, avocat à la Cour.