Fausse ONG de défense de la liberté d’expression au Moyen-Orient, journalistes fictifs, comptes Twitter piratés et liens Internet piégés : tels sont quelques-uns des ingrédients d’une vaste opération de cyberespionnage visant des dissidents des Émirats arabes unis, détaillée par le laboratoire canadien de recherche en sécurité informatique CitizenLab, dimanche 29 mai.

Tout commence par le soupçon d’un journaliste indépendant britannique et fondateur du "Emirates Center for Human rights". Rori Donaghy reçoit, en novembre 2015, un email d’une ONG de défense de la liberté d’expression au Moyen-Orient inconnue au bataillon appelée "The Right to Fight". Soupçonneux et peu désireux de cliquer sur un lien qui ne lui dit rien qui vaille, il envoie le message à l’un des analystes du CitizenLab.

Fausse ONG et faux journaliste

Cinq mois de recherches plus tard, ce laboratoire de l’Université de Toronto rend son verdict : cet email est une petite goutte dans l’océan d’une opération de cybersurveillance débutée en 2012 et jusqu’alors passée inaperçue qui serait, selon CitizenLab, orchestrée sur ordre du pouvoir émirati.

Le lien contenu dans l'email envoyé à Rori Donaghy renvoyait, en fait, vers une adresse Internet piégée qui scannait l’ordinateur de la victime à la recherche "d’éventuelles failles permettant d’en prendre le contrôle", remarquent les auteurs du rapport sur cette opération.

C’est la nature même du lien qui a permis aux enquêteurs de lever le lièvre émirati. Il s’agissait d’un raccourcisseur d’adresses Internet (aax.me) - comme les bit.ly ou les liens abrégés sur Twitter - très peu utilisé. En recherchant dans la boîte de réception de Rori Donaghy, les analystes de CitizenLab ont trouvé un seul autre message contenant un lien de ce type. Il émanait d’un soi-disant journaliste britannique, Andrew Dwight, qui demandait, en décembre 2013, de l’aide pour écrire un livre qui dénoncerait les méthodes de régimes autoritaires dans la région du Golfe.

Problème : ce journaliste qui affirme vouloir s’en prendre aux puissances du Golfe n’existe que sur Internet, d’après les conclusions de CitizenLab. Andrew Dwight s’est fait une spécialité de contacter, sur Twitter, des activistes critiques envers le pouvoir émirati. Plusieurs personnes qu’il a approchées en ligne ont ensuite été condamnées aux Émirats arabes unis. Il a ainsi communiqué, en avril 2013, avec le militant politique émirati Obaid Yousef al-Zaabi, deux mois avant son arrestation.

Appâté sur Twitter

Il n’y a pas qu’Andrew Dwight qui cherche à appâter des dissidents émiratis avec des liens abrégés piégés sur Twitter. Le rapport a dénombré 24 victimes de cette opération de cybersurveillance sur le réseau de microblogging. Dans la plupart des cas, ces personnes ont été arrêtées ou condamnées par contumace aux Émirats arabes unis quelques mois seulement après avoir reçu un message direct sur Twitter contenant un lien en aax.me.

Dans l’un de ces cas, un défenseur des droits de l’Homme aux Émirats arabes unis avait été contacté par un célèbre cyberactiviste (@weldbudhabi) sur Twitter, lui demandant de cliquer sur un lien en aax.me, alors même que le responsable de ce compte venait d’être arrêté par les autorités émiraties quelques heures auparavant. La BBC avait même affirmé que son compte Twitter avait été "piraté" par le pouvoir en place.

C’est l’une des raisons qui poussent CitizenLab à soupçonner un groupe de pirates informatiques agissant sur l’ordre des autorités d’être à l’origine de cette opération. De simples cybercriminels sans lien avec un gouvernement ne se seraient, en outre, pas donné autant de mal à créer de fausses ONG, des journalistes fictifs et à maintenir leur existence sur plusieurs années sans en retirer un profit financier. Il n’y a, à cet égard, "aucune trace de tentative d’extorsion ou de chantage", conclut le rapport de CitizenLab.