Imaginez un instant : votre téléphone vibre au milieu de la nuit. Une notification inhabituelle apparaît sur l’écran. Apple ou Google vous prévient froidement que vous êtes « probablement la cible d’une attaque sponsorisée par un État ». Instantanément, votre cœur s’accélère. Qui ? Pourquoi ? Et surtout… que faire maintenant ?

Pour des centaines de journalistes, militants des droits humains, dissidents et procureurs anticorruption chaque année, ce message n’est pas une hypothèse lointaine : c’est le début d’un cauchemar bien réel. Derrière ces alertes se cache souvent un logiciel espion ultra-sophistiqué vendu à prix d’or à des gouvernements autoritaires. Et derrière ces victimes, une petite équipe discrète tente, jour et nuit, de comprendre, de prouver et surtout de protéger.

Les gardiens invisibles du monde numérique menacé

Ils sont moins d’une quinzaine. Ils travaillent principalement depuis Costa Rica, Manille, Tunis et quelques autres villes peu mises en lumière. Leur QG officiel ? New York. Mais la réalité est bien plus nomade et décentralisée. Cette équipe constitue le noyau dur de la Digital Security Helpline d’Access Now, une structure aujourd’hui considérée comme l’une des ressources les plus critiques au monde quand il s’agit d’enquêter sur les attaques par mercenary spyware.

Leur quotidien ? Recevoir des messages paniqués à 3h du matin, analyser des sauvegardes iCloud saturées de fichiers suspects, décortiquer des processus inconnus sur Android, et parfois annoncer à un journaliste qu’il est effectivement infecté depuis des mois par un logiciel capable de lire ses messages, d’activer sa caméra et son micro à distance, et même de récupérer ses mots de passe.

Une explosion des cas en dix ans

En 2014, l’équipe traitait environ 20 cas par mois. Aujourd’hui, elle reçoit près de 1 000 signalements chaque année. Environ la moitié deviennent de véritables enquêtes approfondies. Et seulement 5 % environ (soit une vingtaine à une trentaine de cas) finissent par confirmer formellement une infection par spyware gouvernemental.

Ce chiffre peut sembler faible. Il ne l’est pas. Car chaque cas confirmé représente souvent des années d’espionnage invisible, des décisions politiques influencées, des sources compromises, des vies bouleversées, et parfois des assassinats politiques préparés en amont.

« Nous sommes devenus le point d’entrée principal quand quelqu’un reçoit une alerte Apple. C’est à la fois une énorme responsabilité… et une reconnaissance de notre expertise. »

Hassen Selmi, responsable de l’équipe d’incident response, Digital Security Helpline

Depuis plusieurs années en effet, quand Apple détecte une attaque de mercenary spyware (Pegasus, Predator, Reign, etc.), l’entreprise redirige systématiquement la victime vers la Helpline d’Access Now plutôt que vers ses propres équipes. Un aveu discret mais puissant : même la firme la plus riche du monde reconnaît que ce petit groupe de spécialistes est aujourd’hui le plus à même de gérer ces cas extrêmement sensibles.

Comment fonctionne une enquête type ?

Le processus est méthodique, presque chirurgical :

  • Réception du message (Signal, email sécurisé, parfois simple WhatsApp)
  • Accusé de réception ultra-rapide, souvent en moins d’une heure
  • Vérification du mandat : la personne fait-elle partie de la société civile, du journalisme, des droits humains ?
  • Triage de priorité (vie en danger immédiat ? menaces physiques associées ?)
  • Questionnaire très précis sur le contexte, les menaces reçues, le matériel utilisé
  • Collecte initiale de logs et indicateurs légers à distance
  • Si nécessaire : demande de sauvegarde complète iTunes / iCloud / Android
  • Analyse forensique poussée avec des dizaines de signatures d’attaques connues
  • Rapport final + recommandations très concrètes (changement de téléphone, nouvelles habitudes numériques, protection physique…)

Chaque type d’exploit majeur des cinq dernières années possède son propre arbre de décision et sa batterie de contrôles spécifiques. L’équipe maintient une connaissance quasi encyclopédique des signatures laissées par Pegasus, Predator, FinFisher reloaded, Reign et autres outils de la galaxie Intellexa / Cytrox / NSO / Candiru / Variston / Hacking Team 2.0.

Les visages derrière les claviers

Ce qui frappe quand on échange avec les membres de l’équipe, c’est leur jeunesse relative alliée à une maturité impressionnante. Beaucoup ont commencé dans des collectifs de hackers éthiques, des CERT universitaires ou des ONG locales avant de rejoindre cette mission globale.

Ils parlent couramment arabe, espagnol, français, tagalog, anglais, parfois turc, swahili, portugais. Cette diversité linguistique et culturelle n’est pas un luxe : elle est une condition de survie pour les victimes qui ont souvent plus confiance quand on leur parle dans leur langue maternelle.

Certains ont eux-mêmes été ciblés par le passé. D’autres ont des amis, des anciens collègues, qui figurent parmi les victimes confirmées. Cette proximité émotionnelle crée une forme d’empathie technique rare dans le monde de la cybersécurité classique.

Les limites humaines d’une mission surhumaine

Malgré les succès, la réalité est rude. L’équipe reste très petite face à l’explosion des cas. Les enquêteurs accumulent un stress post-traumatique secondaire important : ils lisent des messages intimes, découvrent des preuves de violence conjugale orchestrée par des États, voient défiler des listes de contacts qui risquent eux-mêmes d’être arrêtés.

« Il faudrait plus de psychologues, plus d’anthropologues, plus de gens qui comprennent les contextes culturels », reconnaît Hassen Selmi. Car la technique n’est que la moitié du travail. L’autre moitié consiste à accompagner humainement des personnes terrifiées qui réalisent soudain que leur intimité a été pillée pendant des mois, parfois des années.

Le réseau CiviCERT : essaimer l’expertise

Consciente de ses propres limites, l’équipe d’Access Now a contribué à créer et à faire grandir CiviCERT, un réseau mondial de CERT (Computer Emergency Response Teams) spécialisés dans la société civile.

Des structures locales au Mexique, en Inde, en Hongrie, en Égypte, au Brésil, en Tunisie, en Ouganda… reçoivent désormais documentation, outils, formations et support technique de la Helpline. Objectif : que dans cinq ans, un journaliste ciblé à Caracas, à Budapest ou à Kampala puisse trouver une aide de qualité dans son propre pays, dans sa langue, avec une compréhension fine du contexte politique local.

Et demain ?

La course aux armements numériques entre États répressifs et défenseurs des droits humains ne montre aucun signe de ralentissement. Au contraire : les outils deviennent moins chers, les intermédiaires plus nombreux, les cibles plus larges (parfois jusqu’aux simples militants écologistes ou aux avocats anticorruption).

Dans ce contexte, la petite équipe de la Digital Security Helpline d’Access Now reste, en 2026, l’un des remparts les plus solides et les plus discrets dont dispose la société civile mondiale face à la surveillance de masse étatique.

Ils ne gagneront jamais la guerre. Mais chaque infection confirmée, chaque journaliste qui change de téléphone à temps, chaque source protégée, chaque preuve qui finit dans un rapport international ou devant une commission d’enquête parlementaire… compte double.

Parce que dans ce domaine plus que dans tout autre, la différence entre la vie et la mort, entre la liberté et la prison, tient parfois à une poignée d’experts anonymes qui répondent présent à 4 heures du matin, même quand le reste du monde dort.

Et ça… ça n’a pas de prix.

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,