Les logiciels espions à l’ère du big data: l’impasse entre la sécurité nationale et les libertés individuelles
,
CEDIRE.
À l'ère du big data, les logiciels espions ont pris une ampleur inédite, transformant les méthodes de collecte et d’analyse de données. La révolution numérique et l’intégration croissante des technologies dans tous les aspects de la société ont ouvert la voie à des outils de plus en plus sophistiqués, capables de capter des informations personnelles à des fins stratégiques. Ces pratiques soulèvent des questions importantes quant à la protection de la vie privée et à l’éthique des campagnes électorales, où l’accès massif aux données personnelles et leur usage abusif redéfinit les dynamiques de pouvoir et d’influence.
Les données et l’avènement des logiciels espion
Dans des sociétés où chaque clic, partage ou interaction en ligne génère des quantités astronomiques de données (selon les estimations, il s’agirait de 2,5 quintillions d'octets de données par jour){1}, les logiciels espions se sont imposés comme des outils stratégiques dans de nombreux domaines tels que la cybersurveillance de journalistes et activistes ou encore l’espionnage industriel. Leur capacité à collecter, analyser et exploiter des informations personnelles suscite un mélange d’admiration pour leur ingéniosité technique et d’inquiétude face à leurs implications éthiques et juridiques. Cette dynamique est particulièrement visible dans le contexte des campagnes électorales, où l'accès à des données massives redéfinit les stratégies d’influence et remet en question les principes fondamentaux de la vie privée et de la démocratie.{2}
Dès lors, il apparaît nécessaire de se demander ce que constitue une donnée, mais surtout comment les données sont-elles devenues de véritables leviers stratégiques pour la sécurité de la nation ?
Dans une société numérisée, les données représentent des fragments de notre identité numérique : habitudes de navigation, préférences de consommation, interactions sociales, localisation, et bien plus encore. Ces informations, une fois agrégées, offrent un portrait précis et souvent prédictif des comportements individuels et collectifs.{3} Les logiciels espions, quant à eux, sont des programmes conçus pour infiltrer des systèmes informatiques ou des dispositifs électroniques afin de collecter ces données, à l'insu des utilisateurs. Leur construction repose sur des technologies avancées, allant de scripts complexes à des outils intégrés exploitant des failles de sécurité ou des vulnérabilités logicielles.{4}
Cependant, la légalité de leur démarche dépend de l’objectif et du consentement des utilisateurs. Certains logiciels de surveillance informatique, comme ceux utilisés dans les entreprises pour surveiller les activités des employés, peuvent être justifiés par des raisons de sécurité ou de performance, à condition que leur utilisation respecte le cadre juridique établi.{5} D'autres, utilisés à des fins de surveillance illégitime ou de manipulation électorale, franchissent alors des frontières éthiques et juridiques, notamment lorsque le consentement est absent ou obtenu de manière frauduleuse. L'importance des données pour ces logiciels réside dans leur potentiel à transformer des bribes d’informations en un pouvoir d’influence considérable. Dans le cadre des campagnes électorales, par exemple, les données personnelles permettent de segmenter l’électorat en groupes ciblés avec une précision inédite, facilitant ainsi des messages hyper-personnalisés qui exploitent les peurs, les espoirs ou les biais cognitifs des individus.{6} Le scandale Cambridge Analytica illustre comment l’analyse de données peut être utilisée comme un outil stratégique à des fins politiques.
Cambridge Analytica était une société de conseil politique qui utilisait des données (sur les intérêts, habitudes, affiliations politiques, relations sociales, etc.) pour créer des profils psychologiques détaillés des individus, lesquels étaient ensuite exploités pour influencer le comportement des électeurs lors de diverses campagnes politiques, notamment l’élection présidentielle américaine de 2016 et le référendum sur le Brexit. Ce scandale était lié à une importante violation de la vie privée révélée en 2018, impliquant l’utilisation abusive de données personnelles collectées auprès de millions d’utilisateurs de Facebook sans leur consentement.{7}
Ainsi, la capacité à concevoir des logiciels espions, tout comme celle de se protéger contre leur utilisation, est désormais un enjeu crucial pour la sécurité nationale des États. Dans un monde où les cyberattaques, l'espionnage industriel et les manipulations d'informations sensibles deviennent des armes de choix, la maîtrise et le contrôle de ces technologies définissent en grande partie la souveraineté numérique d’un pays.
Le logiciel espion en action
L’objectif principal d’un logiciel espion est de fonctionner de manière discrète et persistante, en collectant constamment des données sensibles et stratégiques pour son utilisateur. Ces programmes sont conçus pour se fondre dans l’environnement numérique, rendant leur détection particulièrement complexe. En effet, de nombreux logiciels espions opèrent silencieusement, en arrière-plan, en exploitant des vulnérabilités dans les systèmes ou en utilisant des techniques de camouflage (telle que l’injection SQL qui est une attaque où le logiciel malveillant s’exécute à l’intérieur d’une application ou d’un processus système de confiance comme ce qui le rend quasiment invisible pour les outils de sécurité), ce qui les rend presque invisibles aux yeux des utilisateurs.{8} Cette capacité à rester indétectable pendant de longues périodes est l’une des raisons pour lesquelles ils sont particulièrement efficaces pour obtenir des informations sensibles sur le long terme. Toutefois, certains scandales ont permis de mettre en lumière l’ampleur de ces logiciels espions et incitent les États à réfléchir à une régulation globale de l’espace numérique, en tenant compte de la frontière floue entre une approche basée sur la vigilance et une autre axée sur la surveillance.
Un exemple emblématique de cette utilisation abusive est celui du logiciel espion Pegasus créé par la société israélienne NSO Group. Initialement créé à des fins de lutte contre le terrorisme, le logiciel est conçu pour infiltrer et compromettre les smartphones fonctionnant sous iOS ou Android.{9} Pegasus peut contourner les mesures de sécurité des appareils, offrant un accès complet au dispositif. Une fois installé, le logiciel peut récupérer tous les messages envoyés ou reçus, accéder à toutes les photos, vidéos et courriels, et même contrôler les microphones et les caméras de l’appareil sans que l’utilisateur en ait connaissance. De plus, Pegasus peut suivre la localisation de l’appareil via le GPS, permettant de surveiller en temps réel les déplacements d’une personne à son insu. Une enquête menée en 2021 a révélé que ce logiciel espion avait été utilisé contre des défenseurs des droits humains, des journalistes et même des chefs d’État. En particulier, le rapport a mis en lumière l’utilisation de Pegasus par le Maroc contre le président français Emmanuel Macron, parmi de nombreux autres cas.{10}
Dans un autre registre, le logiciel espion Predator est également un cas d’étude sur l’impact concret des logiciels d’espionnage sur la vie démocratique. Predator est un logiciel développé et commercialisé par l’alliance Intellexa qui promeut être « soumise à la réglementation européenne ».{12} Le logiciel est conçu pour infiltrer des dispositifs électroniques, notamment des smartphones, dans le but de collecter des données sensibles, surveiller les communications et, dans certains cas, contrôler complètement l'appareil cible. Or, les « Predator files » démontrent qu’entre février et juin 2023, au moins 50 comptes appartenant à 27 personnes et 23 institutions ont été publiquement pris pour cible sur les plateformes de réseaux sociaux X (anciennement Twitter) et Facebook.{13} Parmi ces comptes se trouvent celle de la présidente du parlement européen, la présidente de Taiwan, ou encore un eurodéputé français. La France a également été impliquée dans ce scandale par le biais de l’entreprise française, Nexa Technologies. En effet, cette dernière est accusée d’avoir servi d’intermédiaire pour la vente du logiciel à plusieurs pays, comme Madagascar. En effet, certaines allégations indiquent que Nexa aurait facilité la fourniture du logiciel dans un contexte de campagne présidentielle.{14}
Ces scandales soulèvent des préoccupations mondiales concernant la sécurité numérique, les droits de l’Homme numérique et la souveraineté des États. Elles soulignent également la manière dont la domination technologique peut être exploitée comme un levier de pouvoir et d’influence sur d’autres pays. En effet, lorsque des nations technologiquement avancées offrent des outils numériques et des services essentiels, elles créent des dépendances qui vont bien au-delà du simple partage technologique, puisque cela creuse le fossé existant entre les avancées technologiques et la capacité des autorités à y faire face. Ce système peut augmenter considérablement l'influence du pays fournisseur tout en ouvrant la voie à des activités d'espionnage numérique secrètes à des pays qui, initialement n’ont pas la capacité d’exercer ce genre d’activité. La carte ci-dessous atteste de ce postulat car elle illustre les pays supposés utiliser des logiciels espions contre leurs citoyens à des fins de renseignement politiquement motivées.{15} Cette évaluation est basée sur un ensemble de données concernant l'utilisation de logiciels espions commerciaux et sur des recherches menées par des organisations telles que CitizenLab. Cependant, en raison du manque de transparence entourant le déploiement de telles technologies, il est probable que le nombre réel d'États possédant et utilisant des logiciels espions pour la surveillance soit plus élevé que ce qui est actuellement documenté.
Tableau 1: Utilisation mondiale de logiciels espions contre des civils
Quel cadre juridique ?
Les révélations entourant l’utilisation abusive des logiciels espions ont poussé de nombreux pays à intensifier leurs efforts pour renforcer leurs politiques de cybersécurité et adopter des régulations plus rigoureuses sur la collecte et l’utilisation des données personnelles. C’est notamment le cas du Parlement Européen qui a formulé des recommandations en juin 2023 suite à son investigation contre le logiciel Pegasus.{16} Elle recommande d’instaurer une transparence accrue et une réglementation stricte et limiter la circulation des logiciels espions commerciaux sur le marché européen. La Grèce, quant à elle, a modifié sa loi sur le renseignement à la suite du scandale des logiciels espions, mais il reste à voir si elle comblera les lacunes qui subsistent. L'Espagne a annoncé des efforts supplémentaires pour renforcer son cadre juridique, bien que le Parlement ait considéré que le cadre juridique du pays était fondamentalement conforme.{17}
La question de la légalité et de l’utilisation des logiciels espions est marquée par une ambiguïté juridique significative. En principe, espionner les communications ou le téléphone d’une personne sans son consentement constitue une atteinte grave à la vie privée, et est illégal dans la plupart des juridictions. En France notamment où la violation est passible de poursuites judiciaires et punie d’un an d’emprisonnement et de 45 000 euros d’amende (selon l’article 226-1 du code pénal).
Cette distinction entre la légalité de l’espionnage et la vente des logiciels en tant qu'outils de cybersécurité crée une zone grise juridique. Par exemple, des entreprises comme NSO Group, à l’origine du logiciel Pegasus, ou Intellexa, qui propose Predator, affirment que leurs produits sont conçus pour aider les gouvernements à lutter contre le terrorisme ou la criminalité organisée. Toutefois, les abus documentés dans des affaires comme celles impliquant le ciblage de journalistes ou de militants des droits humains montrent que ces outils sont souvent détournés de leurs objectifs initiaux.{18} En ce sens, plusieurs pays s’engagent à encadrer les logiciels espions commerciaux. Onze pays ont d'ailleurs publié un engagement commun afin de limiter la prolifération et “empêcher les exportations de logiciels, technologies et équipements à des clients qui ont des chances de les utiliser pour mener des activités de cybersurveillance”.{19}
En parallèle, l’absence d’une régulation internationale cohérente favorise la prolifération des logiciels espions. Bien que certains pays renforcent leurs législations pour contrôler ces technologies, les efforts restent fragmentés. En conséquence, ces logiciels, bien qu’intrusifs et souvent utilisés de manière abusive, continuent de circuler librement sur le marché mondial, mettant en péril la vie privée de millions de personnes et alimentant des débats sur la nécessité d’un cadre éthique et légal plus solide.
Conclusion
Les logiciels espions incarnent à la fois des outils puissants et des menaces alarmantes, révélant les tensions entre innovation technologique et protection des droits fondamentaux. D’une part, ces outils offrent des moyens pour lutter contre le terrorisme ou la criminalité afin d’assurer la sécurité nationale. D’autre part, leur abus controversé pose un défi majeur pour les démocraties et la protection des libertés individuelles et met en lumière des enjeux cruciaux liés au respect de la vie privée et au manque de régulation internationale. Alors que les gouvernements et institutions renforcent leurs cadres juridiques pour contrer les abus, il reste essentiel de trouver un équilibre entre sécurité nationale et libertés individuelles. L’avenir des logiciels espions, ainsi que leur encadrement réglementaire, reflétera la capacité des sociétés contemporaines à concilier innovation technologique et respect des droits fondamentaux, dans un monde où la frontière entre vie publique et vie privée devient de plus en plus floue.
{1} Jost, C. (2023) . Sage décision. Archimag, N°364(4), 1-1.
{2} CNPD. (2019). Le Règlement Général sur la Protection des Données : Les campagnes électorales dans le respect de la protection des données personnelles.
{3} Commission nationale de l'informatique et des libertés (CNIL). (2023). Identité numérique : Dossier thématique.
{4} Guardia School. (n.d.). Spyware : Définition, fonctionnement et mesures de protection.
{5} CFTC. (2021). Surveillance informatique au travail : Quels sont vos droits et ceux de l'employeur ?
{6} Psychographics : the behavioural analysis that helped Cambridge Analytica know voters’ minds. (2023, août). IMD Business School For Management And Leadership Courses.
{7} Ibid.
{8} Amnesty International. (2024, mai). What is spyware and what can you do to stay protected?
{9} Ottavio MARZOCCH, & Martina MAZZINI. (2022). Pegasus and Surveillance spyware. European Parliament.
{10} Ibid.
{12} Amnesty International. (2023, 10 octobre). Global Predator Files: Spyware scandal reveals brazen targeting of civil society, politicians, and officials
{13} Ibid
{14} Libération. (2023, 5 octobre). Predator Files : Nouveau chapitre du business français de la surveillance.
{15} Global | Risks to organisations from spyware | Dragonfly Intelligence. (2024, 1 juillet). Dragonfly Intelligence.
{16} Parlement européen. (2024). Spyware: The EU response.
{17} Parlement européen. (2023). Résolution législative du Parlement européen du 13 juin 2023 sur la protection des données personnelles (Document de la session TA-9-2023-0244).
{18} Human Rights Watch. (2021, 30 juillet). Unchecked spyware industry enables abuses.
{19} Le Monde. (2023, 30 mars). La France signe un engagement à davantage encadrer les logiciels espions commerciaux.
Les logiciels espions à l’ère du big data: l’impasse entre la sécurité nationale et les libertés individuelles
Dans nos sociétés modernes, où les données personnelles sont devenues une véritable monnaie d’échange, les logiciels espions se positionnent comme des outils à double tranchant : à la fois puissants et inquiétants. Ils mettent en lumière les tensions croissantes entre l’innovation technologique et la protection des droits fondamentaux. Ces dernières années, plusieurs scandales ont révélé l'ampleur des abus liés à l’utilisation des logiciels espions, exposant des pratiques de surveillance intrusives. Des affaires médiatisées, impliquant tant des gouvernements que des entreprises privées, soulignent la nécessité urgente de régulations adaptées pour prévenir de telles dérives.
