Jonathan Scott. Ce nom était jusque-là inconnu au Maroc. Se présentant comme un chercheur américain en Mobile, IOT & Crypto (Malware/Spyware/Forensics) et doctorant en Sciences informatiques et en Espionnage digital, il a annoncé, le samedi 18 février, sur son compte Twitter, la publication d’un document de recherche intitulé : "Exonérer le Maroc : réfuter les logiciels espions". Il y défend l’idée selon laquelle "l’absence de preuves scientifiquement reproductibles de crimes numériques contre l’humanité sape les fondements de la Justice".

Depuis, Jonathan Scott fait l’actualité au Maroc, où il sera prochainement accueilli par la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP).

Des réunions auront lieu dans le cadre de la démarche de la CNDP, qui vise à auditionner tous les experts techniques, nationaux et internationaux disposés à présenter et à partager leurs analyses et conclusions, dès lors que celles-ci s’appuient sur des méthodologies rationnelles et des faits avérés. Et ce, au sujet des allégations techniques non prouvées de Citizen Lab, Amnesty International et Forbidden Stories, quant à l’outil de surveillance Pegasus, développé par la société israélienne NSO Group.

Jonathan Scott a également publié d’autres documents de recherche relatifs au logiciel Pegasus et à des affaires d’espionnage, notamment en décembre 2022 ("Exonérer le Rwanda : l’affaire des logiciels espions de Carina Kanimba"), ainsi qu’en novembre de la même année ("Examen de la validation du Catalangate Amnesty international") et en janvier 2023 ("Catalangate vectors : une analyse de l’impact de WhatsApp sur la vie privée des citoyens et l’outil MVT d’Amnesty International").

Comme toute production scientifique, le document de recherche publié par Jonathan Scott mérite d’être étudié. Taïb Hezzaz, expert en cybersécurité, s'est penché pour Médias24 sur les conclusions de ce rapport.

Faux positifs

Dans ce rapport, le chercheur américain se penche sur les méthodologies scientifiques, les données et les événements autour de cas présumés d’espionnage numérique, dont le gouvernement marocain est accusé par des organisations étrangères (Amnesty International et Citizen Lab).

Celles-ci ont mené des analyses forensiques que Jonathan Scott estime entourées d’interrogations inquiétantes, puisque les recherches de ces organisations "n’ont souvent pas été vérifiées ou reproduites de manière indépendante par quiconque en dehors de leur réseau de confiance".

Pour le chercheur, les lacunes de ces analyses n’ont pas empêché leurs auteurs de nouer "des partenariats avec plusieurs médias mondiaux, dont la coalition de journalistes de Forbidden Stories". Pourtant, il affirme que "les enquêtes menées par ces organisations manquent considérablement de rigueur. Plus précisément, il a été révélé que les résultats de la criminalistique mobile utilisés pour étayer les allégations de logiciels espions Pegasus sur Omar Radi, Claude Mangin et d’autres téléphones ont été trafiqués et falsifiés, au moyen de plusieurs résultats faux positifs qui n’ont pas été divulgués par les chercheurs".

"Les faux positifs dans les analyses forensiques conduisent à des conclusions erronées, ce qui peut avoir des implications importantes pour les personnes impliquées, et le paysage politique au sens large. Il est également important de noter que les accusations de surveillance gouvernementale ont un poids considérable et peuvent avoir un impact profond sur les relations internationales, ce qui souligne encore la nécessité d’enquêtes approfondies et impartiales", indique-t-il.

Pour le chercheur, ce manque de transparence quant aux résultats faussement positifs, "remet en cause la crédibilité des conclusions tirées par Amnesty International et The Citizen Lab. Cela souligne la nécessité d’un contrôle accru et d’une validation indépendante des enquêtes portant sur des questions politiques sensibles".

Pour l’expert marocain Taïb Hezzaz, les résultats "faux positifs" sont courants. "Cela arrive lorsque le programme de détection alerte sur l’existence de programmes malveillants dans l’appareil, alors qu’en réalité il n’y en a pas."

"Plusieurs raisons peuvent expliquer les résultats faussement positifs. Parfois, les programmes permettant de détecter les virus et programmes malveillants utilisent des algorithmes basés sur une ‘signature’ qui identifie les menaces. Lorsqu’ils recherchent des modèles précis dans les dossiers de l’appareil, correspondant aux prédictions connues du programme malveillant, il est possible que ces algorithmes annoncent des résultats positifs par erreur", explique Taïb Hezzaz.

Selon lui, "les résultats faussement positifs peuvent être dus à des erreurs de programmation ou de l’utilisateur. Par exemple, si celui-ci fixe un programme qui utilise des critères similaires à ceux d’un programme d’espionnage, l’opération peut déclencher une alerte faussement positive".

"Une adresse IP n’est pas une preuve irréfutable"

Le rapport du chercheur américain revient également sur d’anciennes accusations d’espionnage dirigées contre le Maroc depuis une dizaine d’années. Il fait notamment référence à un rapport datant de 2012 dans lequel The Citizen Lab a "déclaré que le gouvernement marocain avait utilisé la technologie de surveillance RCS (Remoting Control System, en français Système de contrôle à distance) de Hacking Team pour cibler le projet de journalisme Mamfakinch".

"L’attaque présumée s’est produite lorsque quelqu’un a envoyé un message de phishing au groupe contenant un lien pour télécharger un document Microsoft Word (...). Le message a été soumis via un formulaire de contact WordPress sur le site Mamfakinch, et l’adresse IP du message envoyé a été associée à un bloc appartenant à Maroc Telecom. L’ancien chercheur principal du Citizen Lab, Morgan Marquis-Boire, a utilisé cette plage d’adresses IP pour attribuer le message de phishing au gouvernement marocain, mais n’en fournit aucune preuve", poursuit l’expert en cybersécurité.

Ce dernier ajoute que Citizen Lab a considéré cette adresse IP comme une "preuve irréfutable confirmant que le gouvernement marocain avait attaqué Mamfakinch". Cependant, “les juridictions pénales du monde entier rejettent, sans équivoque, les affaires présentées avec rien de plus qu’une adresse IP comme preuve d’un crime".

Jonathan Scott explique dans son rapport que l’équipe d’Amnesty Tech a créé un logiciel permettant de "détecter les infections à Pegasus" appelé MVT-Tool, dont "les détails" et "le raisonnement" n’ont pas été divulgués publiquement, remettant ainsi en question sa crédibilité.

De son côté, Taïb Hezzaz indique que les tests réalisés sur des téléphones portables démontrent que cet outil "recherche les virus connus et quelques noms de dossiers programmés". Cela dit, il le juge "non fiable".

Amnesty Tech a développé une méthodologie médicolégale que Jonathan Scott critique, en raison "des éléments fondamentaux et essentiels absents" parmi les composants des enquêtes forensiques.
Ces éléments manquants sont, selon Jonathan Scott, "le rapport de police ; l’ordonnance du tribunal ; les étapes reproductibles ; la chaîne de traçabilité ; l’examinateur et l’analyste qualifiés".

Analyse de sauvegarde iCloud : utile mais insuffisante

De plus, l’expert en cybersécurité soulève une autre question quant à la méthodologie utilisée lors des analyses effectuées par ces organisations, notamment dans le cadre de l’affaire de Omar Radi : la sauvegarde iCloud. Selon lui, celle-ci "ne contient pas de mémoire pouvant être analysée ou reconstruite".

"Une extraction physique des données de l’appareil mobile, la surveillance du réseau en direct, l’extraction et l’analyse du chipset, entre autres procédures d’environnement de laboratoire contrôlé, produisent un résultat plus complet et précis qui peut être reproduit par n’importe quel scientifique médico-légal et informaticien dans le monde", ajoute-t-il.

Selon Taïb Hezzaz, "l’utilisation des sauvegardes iCloud dans le cadre d’enquêtes peut s’avérer utile, mais elle peut être insuffisante pour des conclusions complètes et fiables. Les sauvegardes sur iCloud peuvent contenir beaucoup de données, mais elles peuvent être incomplètes ou anciennes. Tout dépend du nombre de fois où l’utilisateur sauvegarde ses données et de leur quantité".

"Pour effectuer des analyses forensiques approfondies et plus fiables, il n’est pas nécessaire d’accéder directement à l’appareil matériel pour collecter les données de l’appareil. Mais ce dernier contient des données comme le journal d’appel, les SMS, les dossiers, le wifi, le registre d’accès au bluetooth, et d’autres éléments qui ne sont pas conservés dans la sauvegarde iCloud", ajoute-t-il.

Ainsi, l’expert marocain estime que même si la sauvegarde sur iCloud peut s’avérer utile pour effectuer des analyses numériques, elle n’est pas pour autant suffisante pour présenter des conclusions fiables et complètes. Selon lui, les enquêteurs ont généralement besoin d’utiliser divers moyens pour arriver à des résultats concluants.

LIRE AUSSI

Affaire Pegasus : Une semaine agitée pour le Maroc