la CNDP contre-attaque – Aujourd’hui le Maroc

La commission nationale entame l’audition d’experts nationaux et internationaux

C’est le titre de la boite

Auditions. Alors que les allégations techniques de Citizen Lab, Amnesty International et Forbidden Stories n’ont jamais été prouvées, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) monte au front. Des auditions avec des experts ont été programmées. Les détails.

Plusieurs mois se sont écoulés depuis la publication d’allégations au sujet du Maroc. Pourtant, leurs auteurs n’ont jamais pu fournir des preuves concrètes sur ce sujet. La CNDP, qui est une institution de droit agissant sur la base de faits avérés et selon les dispositions de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, annonce une série de mesures. Dans ce sens et puisque les différents acteurs maniant depuis plusieurs mois des faits supposés se retrouvent toujours dans l’incapacité de fournir des preuves, la CNDP a décidé d’auditionner tous les experts techniques, nationaux et internationaux, disposés à présenter et partager leurs analyses et conclusions, dès lors que celles-ci s’appuient sur des méthodologies rationnelles et des faits avérés. A ce titre, la CNDP vient d’accueillir Jonathan Scott, auteur du rapport « Exonerating Morocco – disproving the Spyware » publié le 18 février 2023.

Evaluations erronées
S’exprimant lors de l’audition de l’expert US en cyber-sécurité Jonathan Scott, le président de la Commission nationale de contrôle de la protection des données à caractère personnel, Omar Seghrouchni, a affirmé que les allégations colportées dans l’affaire Pegasus sont «basées sur des évaluations techniques erronées» et «reposent sur des conclusions hâtives dans une tentative d’impliquer certains pays». M. Seghrouchni a tenu à souligner que «nous ne cherchons pas à défendre une vérité particulière, mais plutôt à faire émerger la vérité à travers un débat contradictoire».

Il a, à ce propos, rappelé que la CNDP compte rapporter les preuves apportées par M. Scott et d’autres experts à leurs détracteurs pour arriver à des conclusions claires et scientifiquement irréprochables, en soulignant que la Commission demeure ouverte à toute personne compétente souhaitant discuter de ce sujet. Dans son intervention, Jonathan Scott a pointé du doigt «les failles méthodologiques et scientifiques» inhérentes à l’approche adoptée par Citizen Lab, Amnesty International et Forbidden Stories qui ont conduit à l’adoption de conclusions qui «relèvent plus de l’allégation que de la science» concernant l’usage supposé du logiciel Pegasus par certains pays. L’expert US a aussi affirmé que les allégations de Citizen Lab sont «totalement infondées» et «sont dépourvues des éléments les plus élémentaires pouvant constituer une preuve scientifique».

Failles graves
L’expert US a ainsi pointé du doigt ce qu’il a qualifié de «failles graves» contenues dans les analyses de Citizen Lab, qui ont constitué la base d’Amnesty International dans toute l’affaire Pegasus. Cette enquête, a-t-il expliqué, s’est basée notamment sur un cas, en particulier sur l’analyse d’une sauvegarde iCloud issue du téléphone de la victime présumée, or une telle sauvegarde ne peut en aucun cas fournir des éléments suffisants et probants pour détecter la présence d’un quelconque logiciel espion. «Seule une analyse approfondie du téléphone physique peut permettre de détecter un logiciel espion», a-t-il tenu à préciser, faisant observer qu’Amnesty International a elle-même reconnu que les sauvegardes iCloud peuvent être corrompues de sorte à faire croire a posteriori qu’un logiciel espion a été installé dans un smartphone. «On accuse le Maroc de faits graves et on le prive du moyen de se défendre, à savoir de la possibilité d’examiner les preuves», a-t-il soutenu.

M. Scott a relevé également que Citizen Lab a déployé son propre outil, dit «MVT», afin de détecter la présence de Pegasus dans les échantillons de sauvegarde des téléphones des victimes présumées. En se servant de ce même logiciel, l’expert américain a démontré que son efficacité était très discutable. Et pour cause. MVT déploie une sorte de scanner pour trouver des mots-clés dans la sauvegarde du téléphone. «Sauf que ces mots-clés sont souvent issus d’applications natives au téléphone ou téléchargées de l’AppStore et n’ont aucun lien avec le logiciel Pegasus», a fait remarquer M. Scott.

Amnesty International Maroc
Par ailleurs, la Commission nationale de contrôle de la protection des données à caractère personnel avait reçu, jeudi dernier, les représentants d’Amnesty International Maroc dans le cadre des auditions qu’elle est en train de mener à son initiative concernant les allégations techniques non prouvées formulées par Citizen Lab, Amnesty International et Forbidden Stories. «Précisant ne pas disposer des compétences techniques pour répondre à la CNDP, Amnesty International Maroc appuie le souhait de la CNDP de recevoir des représentants techniques d’Amnesty International basés en Allemagne ainsi que des représentants techniques de Citizen Lab basés au Canada et agira pour faciliter les contacts». A noter que les auditions se sont poursuivies samedi avec un expert indépendant canadien.

Inadmissibilité juridique
Les auditions se sont poursuivies samedi avec des avocats nord-américains spécialisés dans le traitement d’affaires de cybersécurité. Ces derniers ont mis en exergue l’inadmissibilité juridique des «pseudo preuves» contenues dans les rapports de Citizen Lab, Amnesty International et Forbidden Stories concernant l’usage supposé du logiciel Pegasus par certains pays. Auditionné par la CNDP, l’avocat américain au barreau de New York, Tor Ekeland, a affirmé que les soi-disant preuves fournies par les organisations précitées étaient «irrecevables» par un tribunal fédéral américain, car fondées sur «une science de pacotille». «La première chose qu’un tribunal américain fait dans l’examen de preuves scientifiques, c’est de voir si ces preuves respectent le principe de reproductibilité», a-t-il fait savoir. Or, a-t-il relevé, les résultats de Citizen Lab ne peuvent en aucun cas être reproduits, ce qui constitue en soi un «signal d’alarme». Par ailleurs, a-t-il poursuivi, «la première chose que j’ai remarquée dans cette affaire, c’est le caractère particulièrement vague et ambigu des conclusions d’Amnesty International et compagnie».

C’est le titre de la boite

Expert US
Démarche de travail. Pour étayer ses dires, l’expert US a même créé sa propre application, l’a téléchargée sur un iPhone avant qu’elle ne soit détectée comme étant un logiciel Pegasus par MVT. Pire encore ! Lorsque Amnesty International a constaté que son outil MVT était défectueux et avait tendance à confondre un usage normal du téléphone avec celui d’un logiciel espion, l’organisation s’est empressée de supprimer les cas dits de «faux positifs» de ses rapports sans en avertir le public.
«Fort heureusement, nous disposons de versions d’archives des rapports d’Amnesty qui nous ont permis de détecter ces modifications», a-t-il confié, déplorant le fait que les médias qui ont relayé les accusations d’Amnesty n’aient pas pris la peine d’avertir le grand public sur ces aberrations. Pour décrire le travail de Citizen Lab et d’Amnesty International, M. Scott ne mâche pas ses mots. «C’est une science irresponsable, une science dangereuse, si on peut appeler cela de la science». Et de conclure : «Il n’y a pas la moindre preuve impliquant le Maroc».

Le rapport des organisations précitées se contente de citer des «traces» d’une prétendue présence de Pegasus, sans donner la moindre explication sur ce que ces traces signifient, a fait observer M. Ekeland. De même, a enchaîné l’avocat américain, l’autre concept sur lequel s’appuient les juridictions américaines dans l’examen de toute preuve scientifique est celui de la «réfutabilité». «Ce que font Amnesty et Citizen Lab est, à mon avis, très dangereux, parce qu’ils font la promotion d’une sorte de science de pacotille et portent des accusations qu’ils ne peuvent pas étayer parce que personne d’autre n’a fait de tests», a-t-il dit. Abondant dans ce sens, l’avocat canadien basé à New York, Michael Hassard, également spécialiste des affaires informatiques, a expliqué que lorsque les preuves scientifiques sont soumises pour analyse, elles peuvent souvent faire l’objet de «biais de confirmation».

«Quand les empreintes ont été utilisées pour la première fois en médecine légale, elles ont fait l’objet de ce biais de confirmation, et la même chose s’est reproduite avec les analyses de cheveux, des dossiers dentaires et même les analyses ADN», a-t-il rappelé. Il a cité, à cet égard, le livre traitant de cette question et publié par l’avocat de l’organisation américaine The Innocence Project, Chris Fabricant, intitulé «Junk Science and the American Criminal Justice System».

Les méthodes d’analyse scientifique des preuves dans le domaine de la cybersécurité et de l’informatique sont relativement récentes et loin d’être infaillibles, a constaté M. Hassard. Ainsi, ont conclu les deux avocats, «il est important d’établir des normes éthiques lorsqu’il s’agit de méthodologies dans des cas comme celui-ci».

C’est le titre de la boite

Usage éthique de la technologie
Plaidoyer. Le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), Omar Seghrouchni, a appelé, samedi à Tanger, à la création d’un réseau international pour promouvoir un usage éthique de la technologie. M. Seghrouchni a expliqué «que si on se sert d’un rapport qui n’est pas pertinent techniquement, pour accuser les États et les gouvernements, voire les individus, il est clair que nous nous trouvons confrontés à un usage non éthique de la technologie». Dans ce contexte, a-t-il souligné, «un réseau international de réglementation qui favoriserait un usage éthique de la technologie est une façon de contribuer humblement à la mise en place d’un référentiel partagé qui nous permettra de converger vers une méthodologie». M. Seghrouchni a assuré, à cet égard, que la CNDP est engagée dans un «benchmarking permanent pour récupérer tout ce qui peut être utile». «Nous cherchons à créer un espace multidisciplinaire dans le domaine de l’analyse scientifique avec un caractère international», a-t-il confié, notant qu’un tel espace serait propice pour des échanges contradictoires et constructifs.

C’est le titre de la boite

Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel

«Les allégations colportées dans l’affaire Pegasus sont basées sur des évaluations techniques erronées et reposent sur des conclusions hâtives dans une tentative d’impliquer certains pays».

C’est le titre de la boite

Jonathan Scott, expert US en cybersécurité

«les allégations de Citizen Lab sont totalement infondées et sont dépourvues des éléments les plus élémentaires pouvant constituer une preuve scientifique».

C’est le titre de la boite

Me Olivier Baratelli, avocat du Royaume auprès des tribunaux français

«Depuis 18 mois, nous attendons toujours le moindre commencement de preuve de ces accusations fantaisistes».

 

Continuer la lecture

Quitter la version mobile