Campagne d'hameçonnage Nile Phish contre la société civile égyptienne

Le 2 février 2017, le Citizen Lab de l'Université de Toronto, en collaboration avec des ONG égyptiennes, a publié Nile Phish, documentant une campagne d'hameçonnage de grande ampleur et hautement personnalisée visant le cœur de la communauté égyptienne des droits humains. Les opérateurs ont envoyé au moins 92 messages de vol d'identifiants, ciblant presque tous des personnes et des organisations empêtrées dans l'« Affaire 173 » — la vaste répression judiciaire du gouvernement égyptien contre les groupes de la société civile accusés de recevoir des financements étrangers.

Ce qui s'est passé

Nile Phish s'est déroulée en deux phases. La première, débutée fin novembre 2016, a utilisé des appâts hyperpersonnalisés qui démontraient une connaissance troublante, en temps réel, de la vie des cibles et de l'action de l'État égyptien. Dans l'exemple le plus frappant, quelques heures après l'arrestation de la militante des droits des femmes Azza Soliman, le 7 décembre 2016, ses collègues ont reçu des courriels prétendant partager une copie de son mandat d'arrêt — en réalité un piège de collecte d'identifiants. D'autres appâts imitaient des invitations à des événements, des notifications d'interdiction de voyager et des documents partagés.

La deuxième phase a basculé vers un contenu plus générique — fausses alertes de « sécurité de compte » Gmail et Dropbox et avis de livraison de colis — diffusé sur des dizaines de domaines contrôlés par l'attaquant. Les opérateurs se sont appuyés sur le cadriciel open source Gophish et sur environ 33 domaines hébergés chez des fournisseurs européens. Fait crucial, les attaques utilisaient de l'hameçonnage d'identifiants classique plutôt que des maliciels, contournant ainsi la détection antivirus et exploitant la dépendance des cibles à Gmail et Dropbox.

Impact

• Au moins 92 messages d'hameçonnage documentés contre 7 ONG nommées ainsi que de nombreux militants, avocats et journalistes.
• Les organisations ciblées comprenaient l'Egyptian Initiative for Personal Rights (EIPR), le Cairo Institute for Human Rights Studies (CIHRS), l'Association for Freedom of Thought and Expression (AFTE), l'Egyptian Commission for Rights and Freedoms (ECRF), Nazra for Feminist Studies et le Nadeem Center.
• Presque toutes les victimes étaient impliquées dans l'Affaire 173, qui les soumettait déjà à des gels d'avoirs, des interdictions de voyager et des arrestations.

Attribution

Citizen Lab a explicitement refusé d'attribuer de manière concluante Nile Phish à un commanditaire précis. Le rapport a toutefois souligné que la campagne révélait une « familiarité intime » avec les activités des ONG ciblées et une capacité à hameçonner quelques heures après les actions du gouvernement égyptien — y compris des arrestations et des décisions du parquet dans l'Affaire 173. Le rapport notait que cette synchronisation suggérait fortement soit une coordination avec, soit un accès étroit aux opérations de l'État égyptien.

Pourquoi c'est important

Nile Phish est devenue un cas emblématique de la répression numérique de la société civile. Elle a montré qu'une surveillance efficace et à grande échelle des dissidents ne nécessite ni failles coûteuses ni logiciels espions commerciaux — un hameçonnage bien conçu et contextualisé peut être dévastateur contre des ONG sous-dotées. La synchronisation étroite de la campagne avec les actions judiciaires et policières de l'Affaire 173 a illustré comment persécution juridique et cyberopérations peuvent se renforcer mutuellement, et elle a consolidé la méthodologie de Citizen Lab consistant à coupler l'analyse technique avec une documentation de terrain des droits humains.