Agrandir / Rassemblement à vélo par des policiers lors de la campagne de sensibilisation “We Make Pune City Safe” le 3 octobre 2017 à Pune, en Inde.
Les forces de police du monde entier ont de plus en plus utilisé des outils de piratage pour identifier et suivre les manifestants, révéler les secrets des dissidents politiques et transformer les ordinateurs et les téléphones des militants en bugs d’écoute inéluctables. Maintenant, de nouveaux indices dans une affaire en Inde relient les forces de l’ordre à une campagne de piratage qui a utilisé ces outils pour aller encore plus loin : planter de faux fichiers incriminants sur les ordinateurs des cibles que la même police a ensuite utilisés comme motifs pour les arrêter et les emprisonner.
Il y a plus d’un an, des analystes médico-légaux ont révélé que des pirates non identifiés avaient fabriqué des preuves sur les ordinateurs d’au moins deux militants arrêtés à Pune, en Inde, en 2018, qui languissent tous deux en prison et, avec 13 autres, font face à des accusations de terrorisme. Des chercheurs de la société de sécurité SentinelOne et des organisations à but non lucratif Citizen Lab et Amnesty International ont depuis lié cette fabrication de preuves à une opération de piratage plus large qui a ciblé des centaines d’individus pendant près d’une décennie, utilisant des e-mails de phishing pour infecter des ordinateurs ciblés avec des logiciels espions, ainsi que des outils de piratage de smartphones vendus. par l’entrepreneur de piratage israélien NSO Group. Mais ce n’est que maintenant que les chercheurs de SentinelOne ont révélé des liens entre les pirates et une entité gouvernementale : nul autre que le même service de police indien de la ville de Pune qui a arrêté plusieurs militants sur la base de preuves fabriquées.
“Il existe un lien prouvable entre les individus qui ont arrêté ces personnes et les individus qui ont déposé les preuves”, déclare Juan Andres Guerrero-Saade, chercheur en sécurité chez SentinelOne qui, avec son collègue chercheur Tom Hegel, présentera ses conclusions au Black Hat security conférence en août. “C’est au-delà d’un compromis éthique. C’est au-delà de l’insensibilité. Nous essayons donc de fournir autant de données que possible dans l’espoir d’aider ces victimes.”
Publicité
Les nouvelles découvertes de SentinelOne qui relient la police de la ville de Pune à la campagne de piratage de longue date, que la société a appelée Modified Elephant, se concentrent sur deux cibles particulières de la campagne : Rona Wilson et Varvara Rao. Les deux hommes sont des militants et des défenseurs des droits humains qui ont été emprisonnés en 2018 dans le cadre d’un groupe appelé Bhima Koregaon 16, du nom du village où la violence entre hindous et dalits – le groupe autrefois appelé “intouchables” – a éclaté plus tôt cette année-là. (L’un de ces 16 accusés, le prêtre jésuite de 84 ans, Stan Swamy, est décédé en prison l’année dernière après avoir contracté le COVID-19. Rao, qui a 81 ans et est en mauvaise santé, a été libéré sous caution médicale, qui expire le lendemain. mois. Sur les 14 autres, un seul a été libéré sous caution.)
Au début de l’année dernière, Arsenal Consulting, une société de criminalistique numérique travaillant pour le compte des accusés, a analysé le contenu de l’ordinateur portable de Wilson, ainsi que celui d’un autre accusé, l’avocat des droits de l’homme Surendra Gadling. Les analystes d’Arsenal ont découvert que des preuves avaient clairement été fabriquées sur les deux machines. Dans le cas de Wilson, un logiciel malveillant connu sous le nom de NetWire avait ajouté 32 fichiers à un dossier du disque dur de l’ordinateur, y compris une lettre dans laquelle Wilson semblait conspirer avec un groupe maoïste interdit pour assassiner le Premier ministre indien Narendra Modi. La lettre a en fait été créée avec une version de Microsoft Word que Wilson n’avait jamais utilisée et qui n’avait même jamais été installée sur son ordinateur. Arsenal a également découvert que l’ordinateur de Wilson avait été piraté pour installer le malware NetWire après avoir ouvert une pièce jointe envoyée depuis le compte de messagerie de Varvara Rao, qui avait lui-même été compromis par les mêmes pirates. “Il s’agit de l’un des cas les plus graves de falsification de preuves qu’Arsenal ait jamais rencontrés”, a écrit le président d’Arsenal, Mark Spencer, dans son rapport au tribunal indien.
