Un ressortissant américain et grec qui travaillait dans l’équipe de sécurité et de confiance de Meta alors qu’il était basé en Grèce a été placé sous écoute électronique pendant un an par le service national de renseignement grec et piraté avec un puissant outil de cyberespionnage, selon des documents obtenus par le New York Times et des responsables connaissant du cas.
La divulgation est le premier cas connu d’un citoyen américain ciblé dans un pays de l’Union européenne par la technologie d’espionnage avancée, dont l’utilisation a fait l’objet d’un scandale grandissant en Grèce. Cela démontre que l’utilisation illicite de logiciels espions se répand au-delà de l’utilisation par des gouvernements autoritaires contre des personnalités de l’opposition et des journalistes, et a commencé à s’infiltrer dans les démocraties européennes, prenant même au piège un ressortissant étranger travaillant pour une grande entreprise mondiale.
La mise sur écoute simultanée du téléphone de la cible par le service national de renseignement et la façon dont elle a été piratée indiquent que le service d’espionnage et celui qui a implanté le logiciel espion, connu sous le nom de Predator, travaillaient main dans la main.
Le dernier cas survient à l’approche des élections en Grèce, qui a été secouée par un scandale croissant d’écoutes téléphoniques et de logiciels espions illégaux depuis l’année dernière, soulevant des accusations selon lesquelles le gouvernement a abusé des pouvoirs de son agence d’espionnage à des fins illicites.
Le logiciel espion Predator qui a infecté l’appareil est commercialisé par une société basée à Athènes et a été exporté de Grèce avec la bénédiction du gouvernement, en violation possible des lois de l’Union européenne qui considèrent ces produits comme des armes potentielles, a constaté le New York Times en décembre.
Le gouvernement grec a nié avoir utilisé Predator et a légiféré contre l’utilisation de logiciels espions, qu’il a qualifiés d’« illégaux ».
« Les autorités et les services de sécurité grecs n’ont à aucun moment acquis ou utilisé le logiciel de surveillance Predator. Suggérer le contraire est faux », a déclaré Giannis Oikonomou, le porte-parole du gouvernement, dans un e-mail. “L’utilisation présumée de ce logiciel par des parties non gouvernementales fait l’objet d’une enquête judiciaire en cours.”
“La Grèce a été parmi les premiers pays d’Europe à avoir adopté une législation interdisant la vente, l’utilisation et la possession de logiciels malveillants en décembre 2022, qui a les conséquences juridiques les plus graves et des sanctions sévères pour les personnes physiques et morales impliquées dans une telle infraction”, a déclaré M. Oikonoumou. a continué. “La même législation comprend des dispositions sur la restructuration du Service national de renseignement, des garanties supplémentaires pour la surveillance juridique et la modernisation des procédures sur la confidentialité des communications.”
Les législateurs de l’Union européenne ont lancé leur propre enquête.
Le Premier ministre grec Kyriakos Mitsotakis a subi des pressions pour expliquer comment et pourquoi Predator a été vendu depuis la Grèce et utilisé en Grèce, soi-disant à l’insu du gouvernement, contre des membres de son propre gouvernement, des politiciens de l’opposition et des journalistes.
Il a insisté sur le fait que le gouvernement grec n’avait rien à voir avec l’outil de cybersurveillance, mais que des acteurs opaques l’ont peut-être utilisé dans le dos des autorités.
Le dernier cas est centré sur Artemis Seaford, diplômé de Harvard et de Stanford, qui a travaillé de 2020 à fin 2022 en tant que responsable de la confiance et de la sécurité chez Meta, la société mère de Facebook, tout en vivant en partie en Grèce.
Dans son rôle chez Meta, Mme Seaford a travaillé sur des questions politiques liées à la cybersécurité et elle a également entretenu des relations de travail avec des responsables grecs et européens.
Après avoir vu son nom sur une liste divulguée de cibles de logiciels espions dans les médias grecs en novembre dernier, elle a apporté son téléphone au Citizen Lab de l’Université de Toronto, les plus grands experts mondiaux en criminalistique sur les logiciels espions.
Le rapport du laboratoire, qui a été examiné par le New York Times, a révélé que le téléphone portable de Mme Seaford avait été piraté avec le logiciel espion Predator en septembre 2021 pendant au moins deux mois.
“Cela n’exclut pas la possibilité d’autres infections, ou d’une période d’infection s’étendant au-delà du 16/11/2021”, a déclaré le rapport médico-légal de Citizen Lab.
Mme Seaford a déposé vendredi une plainte à Athènes contre toute personne jugée responsable du piratage. La poursuite oblige les procureurs à ouvrir une enquête.
Mme Seaford a également déposé une demande auprès de l’Autorité grecque pour la protection de la confidentialité des télécommunications, un organisme de surveillance constitutionnel indépendant, leur demandant de déterminer si le service national de renseignement grec, connu sous le nom d’EYP, avait mis son téléphone sur écoute.
Ce que nous considérons avant d’utiliser des sources anonymes. Les sources connaissent-elles l’information ? Quelle est leur motivation pour nous dire? Ont-ils fait leurs preuves par le passé ? Pouvons-nous corroborer les informations ? Même avec ces questions satisfaites, le Times utilise des sources anonymes en dernier recours. Le journaliste et au moins un éditeur connaissent l’identité de la source.
Deux personnes ayant une connaissance directe de l’affaire ont déclaré que Mme Seaford avait en fait été mise sur écoute par le service d’espionnage grec à partir d’août 2021, le mois précédant le piratage du logiciel espion, et pendant plusieurs mois jusqu’en 2022.
Ils ont parlé sous le couvert de l’anonymat car il est illégal pour eux de commenter publiquement les opérations de l’EYP.
Cela pourrait prendre au moins trois ans pour que Mme Seaford soit informée de l’écoute électronique de l’agence d’espionnage en vertu des lois grecques que le gouvernement a modifiées à deux reprises depuis qu’une vague de cas d’écoute électronique a été révélée.
Mme Seaford est maintenant la quatrième personne connue à porter plainte en Grèce pour ce logiciel espion, après un journaliste d’investigation et deux politiciens de l’opposition.
Dans le premier cas, un journaliste d’investigation, Thanasis Koukakis, a également demandé en 2020 à l’autorité de surveillance constitutionnelle de l’informer s’il avait également été placé sous écoute électronique.
Avant que M. Koukakis ne puisse obtenir une réponse formelle, le gouvernement a rapidement adopté une loi en 2021 qui restreint considérablement le droit des citoyens d’être informés s’ils avaient été surveillés par le service national de renseignement. M. Koukakis a traduit le gouvernement grec devant la Cour européenne des droits de l’homme au sujet de la modification de la loi.
Le gouvernement grec a depuis subi des pressions pour rétablir certains recours permettant aux citoyens d’apprendre qu’ils ont été mis sur écoute et de demander réparation si leur surveillance avait été abusive.
En vertu d’une loi adoptée l’année dernière, un citoyen qui a été ciblé par l’agence d’espionnage peut désormais être informé – mais seulement s’il le demande, et sous réserve de l’approbation d’un comité, et au plus tôt trois ans après la fin de l’écoute électronique.
C’est dans ces nouvelles conditions que la surveillance de Mme Seaford par le service national de renseignement grec pourrait un jour être officiellement confirmée.
“Les cibles d’une surveillance abusive devraient avoir le droit de savoir ce qui leur est arrivé et avoir des moyens de recours comme pour tout autre crime”, a déclaré Mme Seaford dans une interview.
Elle soutient qu’il n’y a aucune explication raisonnable pour qu’elle soit ciblée. Les écoutes téléphoniques en Grèce ne sont autorisées que pour des raisons de sécurité nationale ou des enquêtes criminelles graves.
Plus d’un an après sa surveillance par les services de renseignement grecs et l’infection illégale par un logiciel espion de son appareil mobile, aucune accusation n’a été portée contre elle et elle n’a été invitée à coopérer avec les autorités sur aucune enquête.
“Dans mon cas, je ne sais pas pourquoi j’ai été prise pour cible, mais je ne vois aucun problème raisonnable de sécurité nationale derrière cela”, a déclaré Mme Seaford. Meta et l’ambassade des États-Unis à Athènes ont refusé de commenter.
Le ciblage de Mme Seaford par l’agence d’espionnage grecque et certains éléments de son affaire ont été rapportés plus tôt par le journal grec Documento.
Dans le cas de Mme Seaford, il semble que les informations tirées de l’écoute électronique aient pu contribuer à la ruse utilisée pour implanter le logiciel espion, selon le calendrier établi par l’analyse médico-légale et soumis au procureur grec.
En septembre 2021, Mme Seaford a pris rendez-vous pour une injection de rappel du vaccin Covid-19 via la plateforme de vaccination officielle du gouvernement grec.
Elle a reçu un SMS automatisé avec les détails de son rendez-vous le 17 septembre, juste après minuit. Cinq heures plus tard, à 05h31, selon des documents, elle a reçu un autre SMS lui demandant de confirmer le rendez-vous en cliquant sur un lien.
C’était le lien infecté qui a mis Predator dans son téléphone. Les détails du rendez-vous de vaccination dans le message texte infecté étaient corrects, indiquant que quelqu’un avait examiné la confirmation authentique antérieure et rédigé le message infecté en conséquence.
L’expéditeur semblait également être l’agence nationale des vaccins, tandis que l’URL infectée imitait celle de la plateforme de vaccination.
Mme Seaford, qui a hésité à se laisser entraîner dans la politique des partis grecs, où le scandale de la surveillance est devenu un sujet de débat amer, a déclaré que la question des logiciels espions et des abus de surveillance devrait être une question non partisane.
“J’espère que mon cas et d’autres comme le mien ne seront pas simplement instrumentalisés, fermés pour éviter un coût politique pour certains, ou, au contraire, élevés pour le gain politique d’autres”, a-t-elle déclaré.
