Causalités foireuses et jugement médiatique orienté

Comment peut-on progresser d’un raisonnement A (des téléphones auraient été espionnés par Pegasus) à une conclusion B (le Maroc en est responsable) en l’absence de preuves ? Illustration avec Le Monde et Mediapart.

Disons-le d’emblée : l’attribution est un processus lent et complexe qui s’appuie sur différents intervenants (experts en digital forensics, enquêteurs, politiques, etc.), dont les conclusions sont recoupées, confrontées et mises à l’épreuve de façon continue tout au long de l’investigation. Enquêtes d’un genre particulier, les investigations sur les cyber-attaques ne se basent pas uniquement sur les données et les indices informatiques disponibles (phase technique), mais ont souvent recours à un niveau d’analyse complémentaire (phase stratégique), éminemment politique.

La partie technique porte sur les preuves directes de la cyber-attaque : code informatique et modularité du programme utilisé, activité du réseau pendant l’événement, artefacts linguistiques, etc. Est également étudié le type de ciblage, les vulnérabilités exploitées par le logiciel malveillant, la manière dont il a accédé à la cible et ce que l’intrus recherchait.

Loin d’être parfaite, l’enquête technique ne permet que rarement d’identifier l’auteur réel d’une cyber-attaque, sachant que la collecte, le traitement et l’analyse portent souvent sur des données incomplètes en raison du temps écoulé entre l’attaque et l’enquête. Les preuves sont, de plus, généralement peu parlantes : non seulement les modes opératoires peuvent parfois être similaires, mais les attaquants peuvent aussi délibérément adopter des patterns et laisser des traces informatiques renvoyant vers une autre partie afin de faire diversion.

C’est ici que commence la phase stratégique, soit celle de l’attribution réelle, qui fait appel à un savoir-faire politique : afin de définir l’identité du ou des responsables, une couche d’investigation stratégique est nécessaire. Il s’agit d’analyser les aspects humains de l’opération, le niveau des ressources investies, le contexte géopolitique de l’attaque ainsi que les relations avec les parties suspectées afin de faire la lumière sur l’identité potentielle du ou des auteurs de l’attaque. En d’autres termes, il s’agit de faire parler les indices et les preuves, dans un sens comme dans un autre, et parfois à l’avenant. Davantage qu’un jugement infaillible basé sur des indices irréfutables, la cyber-attribution est en réalité « un jugement politique fondé sur des informations techniques et stratégiques. En tant que tel, il ne s’agit pas d’un jugement binaire ou absolu, mais d’un jugement graduel dont la certitude oscille de faible à élevée. Les États réfléchissent aux enjeux politiques lorsqu’ils procèdent à une attribution publique, indépendamment de leur degré de certitude quant à la qualité de leur revendication », rappelle le journal E-International Relations dans un article sur les cyber-attaques.

Que peuvent prouver les indices et les signes sur lesquels Amnesty et Forbidden Stories ont choisi de fonder leurs accusations ? On dit que l’implication du Maroc ne fait aucun doute car… deux adresses mail, qui ne sont même pas concordantes, lui auraient été rattachées. C’en est tout pour la « signature technique distinctive » dont s’enivrait Le Monde il y a quelques jours, et au sujet de laquelle nous nous questionnions. Par quel tour de prestidigitation est-il possible de lier la présence de deux adresses mail, qui auraient servi à des opérations dans deux pays distincts, au Maroc ? Et que laisse-t-on encore à dire à Ariane, maintenant que Laurent Richard a lui aussi déroulé son fil, autrement plus délié, bistourné et miraculeux que celui de la princesse de la mythologie grecque ?

Revenons aux choses sérieuses : à supposer que ces adresses mail fassent office de preuve, pour risible qu’elle soit, quel pays laisserait une trace explicite dans son sillage ? Et pourquoi faire, pour se faire pincer ? Dans l’univers des digital forensics, il est connu que la présence de traces et d’artefacts pointant clairement vers un responsable est bien plus souvent à laisser qu’à prendre. Le plantage de faux indices (false-flags) visant à faire diversion et à rejeter la responsabilité sur une autre partie est considéré par les experts comme le b.a.-ba des cyber-attaques, et très rarement ces indices permettent-ils d’identifier le ou les auteurs réels, vu que les attaques sont généralement menées sous fausse-bannière. Que « plus de 50 000 numéros de téléphones sélectionnés par des clients de Pegasus en vue d’un éventuel piratage soient parvenus à l’organisation Forbidden Stories et Amnesty International sous la forme de “clusters“: un par client du logiciel espion », comme dit Le Monde, ne prouve aucunement que le Maroc est impliqué. Une attribution trop facile, qui en principe devrait soulever des doutes : elle vise noir sur blanc à enfoncer le Maroc.

Nous y revenons : l’attribution est une opération éminemment politique. Ici, elle est politique avant d’être technique : l’analyse technique ne sert que de faire-valoir.

Instrumentalisation des expertises

L’attribution est une chose trop grande, trop délicate et sensible pour être laissée entre les seules mains de journalistes imbus de soupçons et d’opinions tenaces. L’apparition miraculeuse d’indices supplémentaires en milieu de chemin ainsi que le pourvoi en analyses techniques additionnelles bien des jours après le lancement de la campagne prouve qu’au départ, celle-ci était adossée à bien peu de chose. Il a fallu en rajouter.

Car, après le temps des accusations toutes faites, et un silence de quelques jours durant lequel les initiateurs de la campagne ont eu le loisir de broyer du vide et de l’air faute d’éléments probants, est venu le temps de l’instrumentalisation des expertises additionnelles: tout un travail d’interprétation des résultats, de sélection d’éléments à charge et d’élimination de ce qui serait à décharge, d’orientation du soupçon sur la base d’un matériau qui se prête peu à ce jeu, et qui ne contient à vrai dire aucun indice incriminant. Après avoir fait analyser quelques téléphones supplémentaires par l’entreprise de cyber-sécurité Lookout, voilà que les journalistes reviennent à la charge : des traces du logiciel Pegasus s’y trouveraient, donc le Maroc. Que ces téléphones aient véritablement subi une attaque par Pegasus, et qu’un consensus scientifique émerge à ce sujet, soit. Mais qu’est-ce qui, dans les analyses techniques, permet spécifiquement d’accuser le royaume ? Et pourquoi spécifiquement Abdellatif Hammouchi et pas un des responsables de nombreux services marocains? De simples adresses mail qu’il a été choisi d’attribuer au Maroc et à personne d’autre ? Et si l’on suit le raisonnement du Monde, selon qui les traces retrouvées dans ces téléphones prouvent qu’ils ont été visés par « la même infrastructure technique d’attaque, propre à un client de Pegasus dont les intérêts géopolitiques s’alignent avec ceux du Maroc », qu’en est-il de tous ceux qui ne présentent aucun intérêt pour le Maroc, mais davantage pour la France, et qui forment la composante la plus importante du package: Edwy Plenel, dont le site Médiapart ne consacre qu’un résidu de couverture au royaume, les journalistes de France Info, dont la majorité écrasante n’a jamais mis les pieds au Maroc, Eric Zemmour, polémiste à forte audience en France, mais dont le Maroc n’a que faire, ou encore l’ancien ministre François de Rugy, ciblé le 15 juillet, soit un jour avant sa démission, ce qui suppose que le commanditaire avait une connaissance préalable de ses intentions, et avait émis le souhait de suivre ses activités après son départ du gouvernement, etc. ? Et pourquoi le Maroc surveillerait un Ali Lmrabet qui affiche publiquement ses idées antimonarchiques et pas des ténors politiques comme feu Abderrahmane Yousfi et l’iconoclaste Abdelilah Benkirane? Rien n’est dit à ce sujet. Et ni l’analyse technique, ni l’analyse stratégique du Monde, de Mediapart et d’autres journaux ne permettent véritablement d’établir une once de responsabilité du Maroc. Alors, pourquoi continuer de l’accuser ?

Le Maroc n’a eu cesse de démentir et de réclamer des preuves, et ce, depuis plus d’un an. « En juin  2020, Amnesty International nous avait accusés de surveiller des journalistes au Maroc en utilisant une telle application. Le chef du gouvernement avait déjà réfuté de tels faits et demandé dans une lettre adressée à l’ONG d’apporter les éléments de preuve qui permettraient de conforter ses accusations. Une demande restée sans réponse », rappelle l’ambassadeur Chakib Benmoussa dans un entretien avec le Journal du dimanche. Depuis le temps, les accusations le Maroc et Hammouchi s’enchainent et se succèdent, sans aucun élément de preuve. Jamais un responsable n’a subi un tel acharnement pendants dix jours continus de la part de la presse hexagonale.

Orientation d’un procès

C’est à une véritable agression politico-médiatique contre le pouvoir judiciaire français que nous assistons, dans l’objectif de lui imposer dès le début des conclusions et des orientations prédéfinies. Pris dans leur course de petits chevaux, leur fuite en avant informationnelle, et portés par un diktat de l’émotion et de l’instantané, les médias français qui ont pris part à l’enquête ont choisi la voie du spectacle en flux continu plutôt que celle de l’analyse rigoureuse. Le judiciaire obéit à un rythme différent de celui des salles de rédaction, leurs investigations précipitées et leur avidité des conclusions immédiates : il faut conduire une enquête, recueillir des preuves et évaluer leur validité ainsi que leur qualité, recourir à des expertises et à des contre-expertises, statuer sur ce que les indices disent, et ce qu’ils ne disent pas et qu’on ne peut leur faire dire. Un processus lent et minutieux, qu’un groupement de médias souhaite aujourd’hui soumettre à la pression afin que leurs conclusions soient avalisées à la hâte par le judiciaire, et sans examen approfondi.

Que dans un sursaut de vigilantisme, un collectif de journalistes aux orientations politiques proches ait décidé de s’improviser juge et partie ne peut vraiment étonner : les frontières entre les différents pouvoirs, notamment politique, médiatique et judiciaire, sont de plus en plus brouillées, et de jour en jour voit-on un renoncement à la justice au profit de l’accusation médiatique rapide. Mais s’ils choisissent d’endosser ce nouveau rôle, que les journalistes en respectent au moins les codes : l’investigation patiente plutôt que la spectacularisation d’actes d’accusation adossés à de maigres preuves, où le soupçon ou l’opinion subjective suffisent pour se forger une certitude. Rappelons aussi que partout dans le monde, être juge implique de ne pas être partie. Dans leur quête de neutralisation des biais et des préjugés susceptibles de nuire à l’impartialité attendue d’un jugement, les législateurs, y compris français, ont prescrit un certain nombre de règles, dont celle de l’obligation de récusation si le juge a un intérêt personnel à la contestation, ou s’il existe une inimitié notoire entre le juge et l’une des parties (Article L111-6 du code français de l’organisation judiciaire). Cette énumération des motifs de la récusation a un caractère non-limitatif (Cour de Cassation, Chambre civile 1, du 28 avril 1998, arrêt n°96-11.637), de sorte que les biais, les préjugés et les partis-pris envers une partie peuvent s’y ajouter. Que de critères et de conditions que l’on peut étendre aux nouveaux « juges médiatiques », et qu’ils ne remplissent à l’évidence pas. Et si d’aventure, ces derniers ne se reconnaissent pas dans les règles édictées aux magistrats, qu’ils aient alors l’élégance de déposer les robes rouges : leurs véritables titulaires sont soumis à des principes que les journalistes méconnaissent entièrement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *