Depuis 2021, le Maroc fait face à des accusations d’espionnage liées à l’utilisation du logiciel Pegasus. Des accusations lancées par Amnesty International, expertisées et basées sur des rapports scientifiques émis par l’organisme canadien Citizen Lab, puis médiatisées en fin de parcours par le consortium de médias Forbidden Stories.
Cette formation triangulaire s’avère redoutablement efficace dans son pouvoir de nuisance, du moins dans un premier temps. Car deux ans après la naissance du «scandale Pegasus» qui a éclaboussé la réputation de plusieurs pays, les failles du rapport sur lequel se basent ces accusations apparaissent de façon irréfutable. Un peu à l’image d’un édifice construit sur des fondations fragiles, des fissures apparaissent au fil du temps sur sa façade.
Cette métaphore architecturale est importante pour bien appréhender la problématique et comprendre la démarche adoptée par la CNDP. Au rez-de-chaussée, les fondations incarnées par le volet scientifique et les données techniques, à savoir le rapport de Citizen Lab qui pêche par les faiblesses de son argumentation.
Au premier étage, les valeurs et les droits humains mis en avant par Amnesty International, qui puise dans des données techniques, sans en fournir la preuve, des assertions non étayées pour asseoir son discours. C’est à ce palier, qui relève de l’activisme, que l’émotion est créée.
Lire aussi : Affaire Pegasus: qui est réellement Laurent Richard, le fondateur de Forbidden Stories
Enfin, au deuxième et dernier étage, on retrouve les médias qui agissent ici comme une caisse de résonance, à l’instar de Forbidden Stories, dirigé par un homme à la moralité douteuse, Laurent Richard. Ce dernier a conféré une ampleur médiatique à des éléments techniques non prouvés, en prenant pour acquis leur véracité, mis au service de valeurs droits-de-l’hommistes et amplifiés par l’aspect émotionnel. Quitte à asseoir le principe de pensée unique…
Mais aujourd’hui, le rapport publié par Jonathan Scott, Exonerating Morocco –Disproving the spyware, met à mal la prétendue irréfutabilité des éléments techniques sur lesquels se basent le rapport d’Amnesty et les articles de Forbidden Stories. Face à cet édifice bancal construit par Amnesty et Citizen Lab, le Maroc a ainsi pour but d’ériger un autre édifice, bien plus solide, fondé sur la réalité scientifique.
Réunis pour l’occasion dans le cadre d’un séminaire intitulé «Réglementations pour un usage éthique des technologies», organisé par la CNDP, Jonathan Scott, expert américain en cybersécurité, Tor Ekeland ainsi que Michael Hassard, avocats américains basés à New York et spécialisés dans la loi informatique depuis plus de dix ans, ont apporté leur éclairage, au regard de leur expertise, sur le rapport d’Amnesty International et de Citizen Lab qui incrimine le Maroc.
Il est important à ce stade d’expliquer la présence de ces experts. Pourquoi la CNDP a-t-elle décidé de les réunir? Est-ce pour accréditer le rapport de Jonathan Scott en faveur du Maroc, qui le dédouane de ces accusations? La réponse d’Omar Seghrouchni, président de la CNDP, est non. Car la posture du Maroc, relayée par cette commission, relève d’une approche pour le moins innovante: inviter dans le cadre d’un débat contradictoire des experts compétents de plusieurs domaines (scientifique et juridique principalement) pour décortiquer les données apportées par Jonathan Scott, et en l’occurrence les infirmer, les contredire, les compléter… Le but principal: apprendre, se perfectionner et in fine établir une méthodologie en matière d’enquêtes forensiques et poser les bases de réglementations pour un usage éthique des technologies. Ainsi, il n’est pas question ici de défendre «la» vérité ou une vérité en particulier, mais de faire émerger la vérité loin de tout coefficient émotionnel et politique, à partir d’un débat contradictoire qui se base, uniquement, sur le volet technique.
C’est en ce sens que le 23 février, la CNDP a convié à sa table, dans le cadre de ces auditions, Amnesty International Maroc –qui a précisé au terme de cet échange ne pas disposer des compétences techniques pour répondre à la CNDP. L’ONG a ainsi appuyé le souhait de la CNDP de recevoir des représentants techniques d’Amnesty International basés en Allemagne ainsi que des représentants techniques de Citizen Lab basés au Canada et s’est engagée à agir pour faciliter les contacts.
Ce processus ne se résumera donc pas à ces deux jours de séminaire mais est amené à s’inscrire dans le temps car dans les semaines à venir, les rencontres et les échanges entre la CNDP et des experts internationaux, qui ont déjà commencé, vont se poursuivre. Quant aux voix qui s’élèvent, exigeant d’ores et déjà les conclusions de la CNDP quant à ce rapport, leur empressement prouve une chose: c’est qu’elles ne sont pas celles d’experts. Et pour cause, ce travail scientifique prend du temps.
De la crédibilité de Jonathan Scott et de son rapport technique
Depuis la publication de son rapport qui met à mal celui d’Amnesty International et Citizen Lab, Jonathan Scott, Américain de 36 ans, doctorant en informatique et expert en criminalistique des logiciels malveillants mobiles et d’espionnage, est confronté à une vague d’attaques majeures sur les réseaux sociaux. Le but: décrédibiliser son expertise. Du changement de son nom de famille à la véracité de ses diplômes –achetés est-il dit dans un supermarché– et aux raisons qui ont amené à son exclusion de l’université où il était doctorant… tout y passe en matière d’attaques personnelles. Lors de ce séminaire, Jonathan Scott est revenu point par point sur cette campagne diffamatoire qui le vise, ripostant à chacune des accusations qui le visent par une explication.
On notera ainsi principalement que ces attaques ont commencé en 2021, dès lors que Jonathan Scott –qui collaborait avec Front Line Defenders et Amnesty International qui le sollicite alors pour l’aider à identifier Pegasus– a été éjecté de ce cercle pour avoir remis en question les failles de la méthodologie d’Amnesty International qui, découvre-t-il, ne sait pas extraire des données d’un rapport. Ce qui de facto remet en cause la crédibilité de leur rapport.
Lire aussi : Affaire Pegasus: un rapport rejette les accusations visant le Maroc
Une fois donc écarté le voile de cette opération en règle de décrédibilisation des travaux de la personne en se servant d’attaques personnelles, il n’en demeure pas moins que son rapport, lui, n’a toujours pas été contesté. C’est donc sur ses découvertes et analyses scientifiques qu’il convient de se focaliser, en évitant de se perdre dans les aléas de la guerre qui lui est menée actuellement sur les réseaux sociaux. Cette guerre consiste à l’attaquer personnellement sans s’aventurer sur le front de l’essentiel: réfuter ses arguments qui décrédibilisent l’arbitraire de la démarche fallacieuse d’Amnesty International et de Citizen Lab.
Il convient ici de préciser que le rapport présenté par Jonathan Scott est un rapport technique et non pas Peer Review. La différence étant qu’un rapport technique peut être écrit par un expert, en toute liberté, afin de livrer une analyse sur un sujet précis, mais n’est pas, à contrario du rapport Peer Review, évalué par ses pairs, en l’occurrence une université ou un laboratoire par exemple.
Du fait d’être technique et non pas Peer Review, le rapport de Jonathan Scott en est-il moins crédible? Aux yeux de la CNDP, la réponse revient aux experts. Elle invite à ce sujet tout expert compétent en la matière à participer à ce débat contradictoire. Mais avant de faire un faux procès à Jonathan Scott sur le fait que son rapport soit technique et non pas Peer Review, il convient de mettre une autre chose au clair: si la condition de Peer Review est sine qua none à la crédibilité d’un rapport, encore faudrait-il que le rapport établi par Amnesty International le soit aussi… Ce qui n’est pas le cas.
Au cœur du rapport de Jonathan Scott, le concept de forensique
Face à l’assemblée, Jonathan Scott va pendant plusieurs heures exposer son analyse, la décortiquer et employer des métaphores pour rendre accessibles à tous ses conclusions. L’usage des analogies et des métaphores est d’une importance capitale à ce stade, car en attendant la rédaction d’articles scientifiques sur ce sujet, il s’agit de vulgariser des données techniques et les analyses qui en découlent, pour les rendre intelligibles à tous.
Première étape de cette démarche, le concept de forensique sur lequel repose toute la démarche scientifique employée pour analyser des données.
Lire aussi : Élaboré par un spécialiste américain, un rapport réfute les accusations d’espionnage visant le Maroc
Qu’est-ce que le forensique? Un outil de traduction lambda le traduira par médico-légal. Cet anglicisme est en effet employé pour désigner une méthode scientifique utilisée pour répondre à une question légale ou judiciaire. Cette méthode est communément employée en médecine pour procéder à une autopsie après un crime.
La notion de crime est ici primordiale en ce qu’elle représente l’environnement autour duquel un ensemble d’enquêtes vont êtres organisées, mobilisant un certain nombre de compétences et d’expertises pour pouvoir aboutir. C’est la même démarche que s’emploie aujourd’hui à mettre en place la CNDP pour établir un cadre clair de travail.
Ainsi, pour en revenir à la médecine légale, dans toute autopsie, il faut un corps pour pouvoir découvrir des indices, des preuves et poser ainsi les bases de l’enquête sur le crime commis. Il en va de même pour l’enquête forensique sur mobile. Pour pouvoir enquêter sur de l’espionnage à partir d’un téléphone mobile, il faut pouvoir disposer du téléphone mobile qu’on suspecte d’être infecté. Or, jamais Citizen Lab et Amnesty International n’ont disposé des téléphones des prétendues victimes d’espionnage par Pegasus. Pour filer la métaphore, l’on dira qu’ils ont établi une autopsie sans cadavre.
Jusqu’à présent, la posture du Maroc est restée la même en ce qu’il a dès la première heure exigé des preuves à ces deux organismes. Preuves qui ne lui ont jamais été présentées. Ainsi, pour résumer la chose, Jonathan Scott explique que «le Maroc est accusé d’espionnage mais ne peut pas se défendre car il n’y a pas de téléphone et pas d’experts pour vérifier. Autrement dit, le Maroc est jugé coupable, sans pouvoir prouver le contraire».
Lire aussi : Licenciement d’un chercheur américain qui a dénoncé les mensonges faits autour du logiciel Pegasus
Or poursuit l’expert américain, «tout un chacun a le droit de faire face à son accusateur pour analyser les preuves fournies contre lui. Ainsi, quand on soumet des preuves en justice, la partie adverse doit pouvoir les analyser afin de pouvoir se défendre sur la base de ces preuves apportées par l’autre partie». Pour être encore plus précis, la situation actuelle revient à être accusé d’un crime, sans rapport de police établi. Pire encore, poursuit Jonathan Scott, «dans le rapport d’Amnesty, il est à plusieurs reprises écrit: ‘nous n’avons pas de preuves, mais nous pensons que’»…
La cartographie, un élément essentiel à l’enquête forensique
Sur un grand écran, Jonathan Scott expose un schéma géant avec des mots-clés. Il s’agit d’une cartographie de ce qu’il convient de faire, des étapes à suivre, pour pouvoir procéder à un forensique. Autrement dit, cette cartographie identifie sous forme de schéma les moyens de vérifier ce qui s’est passé sur une scène de crime. Dans cette cartographie projetée, quantité de mots clés sont écrits en rouge. L’autre partie en jaune. «Tout ce qui est en rouge n’a pas été fait par Citizen Lab. En jaune, c’est ce qui a été fait de manière superficielle», annonce Jonathan Scott.
Comme dans une enquête policière visant à savoir ce qui s’est passé sur une scène de crime, il convient ainsi de se poser des questions bien précises et de suivre une méthodologie elle aussi bien précise en matière de récolte et de présentation des preuves.
Dans le cas des téléphones au cœur du rapport d’Amnesty International et Citizen Lab, voici les questions qui doivent être posées pour être à même de savoir si l’enquête a bien été menée: dans quel lieu les preuves ont-elles été emportées et stockées? Est-ce que ces appareils étaient reliés à une source de tension? Le mode avion était-il activé? Y avait-il une carte SIM dans ces appareils mobiles? Étaient-ils endommagés? Disposaient-ils du mot de passe de chaque appareil?
Toutes ces questions sont d’une importance capitale et à ce jour, elles n’ont aucune réponse.
Or, ce que l’on sait aujourd’hui, poursuit Jonathan Scott, c’est que ni Amnesty International ni Citizen Lab n’ont jamais disposé des téléphones en question et que ceux-ci ont basé leur enquête sur l’analyse de la sauvegarde de l’iCloud des appareils iPhone, envoyée directement par les personnes prétendument infectées.
Lire aussi : Affaire Pegasus: l’avocat Olivier Baratelli démonte toutes les allégations fallacieuses lancées contre le Maroc
Cette sauvegarde suscite également de nombreuses interrogations en matière de crédibilité. Comment sait-on que cette sauvegarde appartient à celui qui l’envoie? Comment savoir que celle-ci n’a pas été faussée, étant avéré qu’elle peut être modifiée? Et si cette sauvegarde peut être modifiée, on peut donc en faire de même avec Pegasus en donnant de faux résultats: les faux positifs.
Autre problème de taille épinglé dans le rapport de Jonathan Scott: lorsqu’Amnesty International et Citizen Lab font une erreur, ils procèdent à une mise à jour. Le hic, c’est que ces erreurs et les mises à jour qui s’ensuivent ne sont pas signalées aux médias qui, eux, continuent donc de médiatiser des données techniques qui s’avèrent fausses sans tenir compte des mises à jour faites en toute discrétion par Citizen Lab et Amnesty. «Mais le fait est que ces modifications et le moment où elles sont exécutées sont visibles», explique Jonathan Scott.
Jonathan Scott, qui est aussi expert en matière de hacking de mobiles, ne s’est pas contenté de lancer des affirmations en l’air, il a scrupuleusement testé chacune d’entre elles.
Ainsi, celui-ci a recouru à plusieurs méthodes pour s’auto-infecter avec le logiciel Pegasus afin de tester l’outil de détection employé par Citizen Lab, créer lui-même des faux positifs, prouver ainsi que le contenu de sa sauvegarde peut être manipulé et que, in fine, l’outil de détection de Citizen Lab présente bon nombre de défaillances.
Des dangers de la «Junk Science»
L’exposé technique de Jonathan Scott a ensuite été complété, le samedi 25 février, par un volet juridique présenté par deux avocats spécialisés dans le droit informatique aux Etats-Unis et à l’international: Tor Ekeland, avocat en première instance et en appel, spécialisé en droit informatique, droit pénal, droit constitutionnel, et Michael Hassard, avocat spécialisé dans les procès fédéraux au sein du cabinet Tor Ekeland Law, notamment en droit informatique.
Ceux-ci se sont attachés à expliquer les standards appliqués aux États-Unis, dans les Cours de justice, afin de faire la démonstration de la manière dont sont traitées ces affaires et des règles d’usage en matière de preuves scientifiques.
Tor Ekeland a ainsi présenté quatre grands concepts auxquels a recours la Cour fédérale aux États-Unis dans ce type d’affaire, à commencer par celui de reproductibilité, qui implique une première question centrale: peut-on reproduire les résultats scientifiques apportés? «Dans le cas présent, explique l’avocat, s’agissant du rapport d’Amnesty International et Citizen Lab, ce type de preuves ne peuvent pas être prises en compte car on ne peut pas reproduire les mêmes résultats que ceux produits par ces deux organismes». Et de qualifier les conclusions d’Amnesty international de «vagues et ambigües».
Lire aussi : Affaire Pegasus: le Maroc demande à nouveau à Amnesty international de fournir des preuves de ses allégations
Tor Ekeland s’interroge également sur «les traces liées à Pegasus» citées à plusieurs reprises dans ledit rapport. «Qu’est-ce que cela veut dire? On ne peut rien affirmer à partir de cela. Ils ont échoué à apporter une information nécessaire pour tester leurs conclusions», affirme-t-il.
Autre concept utilisé par les Cours fédérales américaines, celui de falsification avec ici aussi une question autour de laquelle s’articule la réflexion: comment peut-on montrer que ces résultats sont faux? «Dans le cas présent, il n’y a aucune information à même de montrer que ces résultats sont vrais ou faux», tranche l’avocat américain.
Troisième élément employé dans la méthodologie des Cours américaines, celui de Peer Review. «Est-ce que la méthodologie employée pour ce rapport a été évaluée par des scientifiques indépendants?», interroge Tor Ekeland. La réponse dans le cas présent est non.
Enfin, le dernier concept pris en compte est celui du biais de confirmation, la tendance instinctive de l’esprit humain à rechercher en priorité les informations qui confirment sa manière de penser, et à négliger tout ce qui pourrait la remettre en cause. À titre d’exemple, illustre Tor Ekeland, les empreintes utilisées dans les rapports d’enquête sont sujettes au même biais de confirmation, au même titre que les follicules de cheveu, les empreintes dentaires et l’ADN.
Pour Michael Hassard, en ce qui concerne le rapport émis par Amnesty International et Citizen Lab, «on ne peut donc pas parler de concept scientifique. Dans les enquêtes forensiques, on appelle cela de la Junk Science (science poubelle)», déclare-t-il. Et il précise que 50% des personnes incarcérées dans ce type d’affaires aux États-Unis le sont à cause de la Junk Science, tout en alertant sur les dangers et les dérives de cette démarche.
Et l’avocat de poursuivre que cet usage de la Junk Science par ces deux organismes s’accompagne de l’émission d’accusations que personnes ne peut tester.
«Les enquêtes forensiques relèvent de la science et non pas de la politique. La distinction doit être faite entre la science et les conclusions à en tirer, car les confusions viennent du fait que les gens pensent que les conclusions sont scientifiques, alors qu’elles sont les produits de plusieurs biais psychologiques basés sur la jalousie, la politique, l’argent… La chose primordiale en matière d’aspect scientifique, c’est de mettre les aspects psychologiques de côté», conclut Tor Ekeland.