Les sociétés de hackers à louer comme NSO Group et Hacking Team sont devenues connues pour permettre à leurs clients d’espionner les membres vulnérables de la société civile. Mais il y a dix ans déjà, en Inde, une start-up appelée Appin Technology et ses filiales auraient joué un rôle de cybermercenaire similaire, tout en attirant beaucoup moins d’attention. Au cours des deux dernières années, un groupe de personnes ayant des liens directs et indirects avec cette société ont travaillé pour que cela reste ainsi, en utilisant une campagne de menaces juridiques pour faire taire les éditeurs et toute autre personne signalant le passé présumé de piratage d’Appin Technology. Aujourd’hui, une vague coalition de voix anti-censure s’efforce de faire en sorte que cette stratégie se retourne contre elle.nar dapibus leo.
Pendant des mois, des avocats et des dirigeants liés à Appin Technology et à une organisation plus récente qui partage une partie de son nom, appelée l’Association des centres de formation Appin, ont eu recours à des poursuites judiciaires et à des menaces juridiques pour mener une campagne de censure agressive à travers le monde. Ces efforts ont exigé que plus d’une douzaine de publications modifient ou suppriment complètement les références au piratage illégal présumé d’Appin Technology ou, dans certains cas, les mentions du co-fondateur de cette société, Rajat Khare. Plus important encore, un procès contre Reuters intenté par l’Association des centres de formation Appin a abouti à une ordonnance stupéfiante d’un tribunal de Delhi : il a exigé que Reuters retire son article sur la base d’une enquête à succès sur Appin Technology qui avait détaillé ses allégations de ciblage et d’espionnage. des dirigeants de l’opposition, des entreprises concurrentes, des avocats et des particuliers fortunés au nom de clients du monde entier. Reuters a supprimé « temporairement » son article conformément à cette injonction et combat cette ordonnance devant un tribunal indien.
Cependant, alors que les centres de formation Appin ont cherché à faire respecter la même ordonnance contre un grand nombre d’autres médias, la résistance se construit. Plus tôt cette semaine, le groupe de défense des droits numériques, l’Electronic Frontier Foundation (EFF), a envoyé une réponse,, repoussant les menaces juridiques des centres de formation Appin au nom des organisations médiatiques prises entre deux feux, notamment le blog technologique Techdirt et le journal d’investigation. MuckRock à but non lucratif.
Aucun média n’a affirmé que Appin Training Centers – un groupe qui se décrit comme une entreprise éducative dirigée en partie par d’anciens franchisés de la première Appin Technology, qui aurait cessé ses prétendues opérations de piratage il y a plus de dix ans – aurait été impliqué dans des activités illégales. le piratage. Cependant, en décembre, les centres de formation Appin ont envoyé des courriels à Techdirt et MuckRock leur demandant de supprimer eux aussi tout contenu lié aux allégations selon lesquelles Appin Technology s’était précédemment engagé dans des opérations de cyberespionnage généralisées, citant l’ordonnance du tribunal contre Reuters.
Techdirt, selon Appin Training Centers, est tombé sous le coup de cette injonction en écrivant sur l’histoire de Reuters et l’ordre de retrait le visant. Il en va de même pour MuckRock, affirment les plaignants, qui héberge certains des documents cités par Reuters dans son article et téléchargés sur le service DocumentCloud de MuckRock. Dans la réponse envoyée en leur nom, l’EFF déclare que les deux médias refusent de se conformer, arguant que l’injonction du tribunal indien « n’est en aucun cas l’ordre de retrait global que votre correspondance représente ». Il cite également une loi américaine appelée SPEECH Act, qui considère comme inapplicable aux États-Unis toute décision d’un tribunal étranger en matière de diffamation qui viole le premier amendement.
« Ce n’est pas un bon état pour une presse libre lorsqu’une seule entreprise peut, partout dans le monde, faire disparaître des articles de presse », a déclaré à WIRED Michael Morisy, PDG et co-fondateur de MuckRock. “C’est quelque chose contre lequel nous devons fondamentalement lutter.”
Le fondateur de Techdirt, Mike Masnick, déclare qu’au-delà de vaincre la censure de l’histoire d’Appin Technology, il espère que leur réponse publique à cet effort de censure attirera finalement encore plus d’attention sur le passé du groupe. En fait, il y a 19 ans, Masnick a inventé le terme « effet Streisand » pour décrire une situation dans laquelle la tentative d’une personne de cacher une information entraîne sa plus grande divulgation – exactement la situation qu’il espère contribuer à créer dans ce cas. « La suppression de rapports précis est problématique », déclare Masnick. « Lorsque cela se produit, cela mérite d’être dénoncé, et il faudrait prêter davantage d’attention à ceux qui tentent de le faire taire. »
L’organisation à but non lucratif anti-secret Distributed Denial of Secrets (DDoSecrets) s’est également jointe aux efforts visant à déclencher cet effet Streisand, en “non censurant” l’article de Reuters sur la technologie Appin originale dans le cadre d’une nouvelle initiative qu’elle appelle le projet Greenhouse. La cofondatrice de DDoSecrets, Emma Best, affirme que le nom vient de son intention de favoriser un « effet de réchauffement », à l’opposé de « l’effet dissuasif » utilisé pour décrire l’autocensure créée par les menaces juridiques. «Cela envoie un signal aux censeurs potentiels, leur disant que leur succès pourrait être éphémère et limité», explique Best. « Et cela garantit aux autres journalistes que leur travail peut survivre. »
Ni Appin Training Centers ni Rajat Khare n’ont répondu à la demande de commentaires de WIRED, pas plus que Reuters.
La lutte pour révéler l’historique présumé de piratage de la technologie Appin originale a commencé à atteindre son paroxysme en novembre 2022, lorsque l’Association des centres de formation Appin a poursuivi Reuters en justice sur la seule base des messages non sollicités de ses journalistes aux employés et étudiants des centres de formation Appin. La plainte déposée par l’entreprise auprès du système judiciaire indien accuse Reuters non seulement de diffamation, mais aussi de « harcèlement mental, de harcèlement criminel, d’inconduite sexuelle et de traumatisme ».
Près d’un an plus tard, Reuters publiait néanmoins son article « Comment une startup indienne a piraté le monde ». » Le juge chargé de l’affaire s’est initialement rangé du côté des Appin Training Centers, écrivant que l’article pourrait avoir un « effet dévastateur sur la population étudiante générale de l’Inde ». Il a rapidement ordonné une injonction stipulant que les centres de formation Appin peuvent exiger que Reuters retire leurs affirmations concernant la technologie Appin.
Cette décision a précédé tout débat juridique sur la véracité des reportages de Reuters, que l’agence de presse a promis de faire appel. En fait, Reuters a écrit qu’il fondait son histoire sur des entretiens avec des dizaines d’anciens employés d’Appin Technology et des centaines de cibles présumées, ainsi que sur des milliers de documents internes. Ces fichiers incluent les documents marketing d’Appin Technology qui restent accessibles au public sur DocumentCloud grâce à MuckRock, et semblent montrer que l’entreprise propose explicitement de pirater des cibles au nom de ses clients via le « phishing », « l’ingénierie sociale », les infections par « chevaux de Troie », et même discuter de cas spécifiques où les clients les ont embauchés pour des opérations de piratage.
Appin Training Centers, pour sa part, affirme qu’il s’agit simplement d’un ensemble d’établissements d’enseignement dont la marque a été ternie par les reportages de Reuters. Reuters a répondu dans un dossier juridique en arguant que les centres de formation Appin avaient été créés “uniquement aux fins de ce procès, avec une arrière-pensée”, et a souligné, à travers une pièce jointe à un dossier judiciaire, qu’il avait été constitué quelques mois seulement après s’être nommé. comme le plaignant poursuivant Reuters.
Néanmoins, un peu plus de deux semaines après la publication de son enquête sur Appin Technology, le 5 décembre, Reuters s’est conformé à l’injonction du tribunal indien en supprimant son article . Bientôt, dans une sorte d’effet domino de censure, d’autres ont commencé à retirer leurs propres rapports sur Appin Technology après avoir reçu des menaces juridiques fondées sur la même injonction. SentinelOne, la société de cybersécurité qui avait aidé Reuters dans son enquête, a supprimé de son site Web ses recherches sur le piratage présumé d’une filiale d’Appin Technology . L’Internet Archive a supprimé sa copie de l’article de Reuters. Le site d’informations juridiques Lawfare et le podcast d’actualités sur la cybersécurité Risky Biz ont tous deux publié des analyses basées sur l’article ; Risky Biz a supprimé son épisode de podcast et Lawfare a écrasé chaque partie de son article faisant référence à Appin Technology avec Xs . WIRED a également supprimé un résumé de l’article de Reuters dans un tour d’horizon après avoir reçu la menace des centres de formation Appin.
Outre l’injonction utilisée par les centres de formation Appin pour exiger que les éditeurs censurent leurs articles, le cofondateur d’Appin, Rajat Khare, a séparément envoyé des menaces juridiques à un autre groupe de médias sur la base d’une décision de justice qu’il a obtenue en Suisse. Deux publications suisses ont publiquement indiqué qu’elles avaient répondu aux décisions de justice en supprimant le nom de Khare des articles sur des allégations de piratage informatique. D’autres ont supprimé le nom de Khare ou ont complètement supprimé les articles sans explication publique, notamment le Bureau of Investigative Journalism , le Sunday Times britannique , plusieurs médias suisses et français et huit médias indiens.
“C’est une organisation qui jette tout contre le mur, essayant de faire autant d’allégations dans autant de lieux que possible dans l’espoir que quelque chose colle quelque part”, a déclaré une personne d’un média qui a reçu de multiples menaces juridiques de la part de personnes liées à Appin Technology, qui a refusé d’être nommé en raison des risques juridiques liés à sa prise de parole. « Parfois ça marche, parfois non. Malheureusement, en Inde, cela a fonctionné.
Même avant que l’EFF, Techdirt, MuckRock et DDoSecrets ne commencent à s’opposer à cette censure, certains y avaient immédiatement résisté. Le New Yorker, par exemple, avait mentionné une filiale d’Appin Technology et de Rajat Khare dans un article consacré au secteur indien des hackers pour compte d’autrui en juin de l’année dernière. Il a été poursuivi par Appin Training Centers, mais a conservé son article en ligne pendant que le procès se poursuit. (Le New Yorker et WIRED sont tous deux publiés par Condé Nast.) Ronald Deibert, chercheur en sécurité bien connu et fondateur du Citizen Lab de l’Université de Toronto, un groupe qui vise à dénoncer les pirates informatiques qui ciblent les membres de la société civile, avait également mentionné Appin Technology dans un article de blog . Deibert a reçu et refusé la menace de retrait d’Appin Training Centers, publiant une capture d’écran de son e-mail sur son flux X en décembre avec sa réponse : sept emojis du majeur.
Cependant, la réaction négative à la censure des reportages sur les prétendus piratages informatiques d’Appin Technology fait boule de neige, mais elle pourrait maintenant aller au-delà de quelques cas où les tentatives de censure des centres de formation Appin et de Rajat Khare ont échoué, a déclaré Seth Stern, directeur du plaidoyer pour la liberté de la Press Foundation, qui a écrit sur la campagne de censure . Au lieu de cela, cela pourrait se retourner contre lui, dit-il, en particulier pour Rajat Khare, cofondateur d’Appin Technology. “Cela semble être une sorte de stratégie douteuse que d’attiser tout cela maintenant, et je me demande s’il commence à le regretter étant donné la couverture médiatique que cela reçoit”, dit Stern. “Vous pourriez facilement voir que cela nuira plus à la réputation que de bien à Khare et à Appin.”
Morisy de MuckRock dit que l’attention est exactement l’intention de sa décision, aux côtés de Techdirt et de l’EFF, de mettre en lumière les menaces juridiques qu’ils ont reçues. «Cela exploite dans une certaine mesure l’effet Streisand. Mais il faut aussi simplement trouver des moyens de riposter », explique Morisy. « Les groupes qui tentent de faire taire les journalistes doivent payer un prix. »
Cette histoire a été initialement publiée sur wired.com .