KST, un projet conjoint de Human Rights Watch et de l’Université de New York visant à documenter les atteintes aux droits de l’homme en République démocratique du Congo a été mis hors ligne après avoir exposé l’identité de milliers de personnes vulnérables, notamment des survivants de massacres et d’agressions sexuelles.

Le Kivu Security Tracker est une « cartographie de crise centrée sur les données » des atrocités dans l’est du Congo, utilisée par les décideurs politiques, les universitaires, les journalistes et les militants pour « mieux comprendre les tendances, les causes de l’insécurité et les violations graves du droit international des droits de l’homme et du droit humanitaire », selon le site désactivé. Cela inclut des massacres, des meurtres, des viols et des violences contre des militants et du personnel médical par les forces de sécurité de l’État et des groupes armés, indique le site.

Cependant, les protocoles de sécurité laxistes du KST semblent avoir accidentellement exposé jusqu’à 8 000 personnes, dont des militants, des survivants d’agressions sexuelles, du personnel des Nations unies, des fonctionnaires congolais, des journalistes locaux et des victimes d’attaques, selon une analyse d’Intercept. Des centaines de documents, dont 165 feuilles de calcul, se trouvaient sur un serveur public et contenaient les noms, les lieux, les numéros de téléphone et les affiliations organisationnelles de ces sources, ainsi que des informations sensibles sur quelque 17 000 « incidents de sécurité », tels que des massacres, des tortures et des attaques contre des manifestants pacifiques.

Les données étaient accessibles via le site principal du KST, et toute personne disposant d’une connexion Internet pouvait y accéder. Ces informations semblent avoir été disponibles sur Internet pendant plus de quatre ans.

Des experts ont déclaré à Intercept qu’une fuite de cette ampleur constituerait l’une des instances les plus graves d’exposition en ligne de données personnelles d’une population vulnérable et affectée par un conflit.

« Ce fut une violation sérieuse de l’éthique de la recherche et de la vie privée par le KST et ses organisations parrainantes », a déclaré Daniel Fahey, ancien coordinateur du Groupe d’experts du Conseil de sécurité des Nations unies sur la République démocratique du Congo, après avoir été informé de l’erreur.

« Le défaut du KST à sécuriser ses données présente de sérieux risques pour chaque personne et entité répertoriée dans la base de données. La base de données met des milliers de personnes et des centaines d’organisations en danger de violence de représailles, de harcèlement et de dommages réputationnels. »

Daniel Fahey

« Si vous essayez de protéger les gens mais que vous faites plus de mal que de bien, alors vous ne devriez pas faire ce travail en premier lieu. »

« Si vous êtes une ONG travaillant dans des zones de conflit avec des personnes à haut risque et que vous ne gérez pas correctement leurs données, vous mettez les personnes que vous essayez de protéger en danger de mort« , a déclaré Adrien Ogée, directeur des opérations du CyberPeace Institute, qui fournit une assistance en cybersécurité et une analyse des menaces aux organisations non gouvernementales humanitaires. Parlant en général des protocoles de sécurité laxistes, Ogée a ajouté : « Si vous essayez de protéger les gens mais que vous faites plus de mal que de bien, alors vous ne devriez pas faire ce travail en premier lieu. »

Les dangers s’étendent à ce que la base de données appelle les « points focaux » congolais, qui ont mené des entretiens sur le terrain et recueilli des informations pour le KST. « Le niveau de risque auquel le personnel local du KST a été exposé est difficile à décrire », a déclaré un chercheur proche du projet qui a demandé à ne pas être identifié par peur de représailles professionnelles. « Il est incroyable qu’une organisation sérieuse de droits de l’homme ou de recherche sur les conflits puisse jamais exposer son personnel de cette manière. Les milices désireuses de se venger, les gouvernements d’États voisins répressifs, les services de sécurité colériques – la liste des dangers auxquels cela les expose est très longue. »

Les feuilles de calcul, ainsi que le site principal du KST, ont été mis hors ligne le 28 octobre, après que le journaliste d’investigation Robert Flummerfelt, l’un des auteurs de cet article, a découvert la fuite et en a informé Human Rights Watch et le Center on International Cooperation de l’Université de New York. HRW a ensuite constitué ce que l’une des sources proches du projet a décrit comme une « équipe de crise ».

La semaine dernière, HRW et le Congo Research Group de l’Université de New York, l’entité au sein du Center on International Cooperation chargée du maintien du site du KST, ont publié une déclaration annonçant la fermeture et faisant référence de manière vague à « une vulnérabilité de sécurité dans sa base de données », ajoutant : « Nos organisations examinent la sécurité et la confidentialité de nos données et de notre site Web, y compris la manière dont nous recueillons et stockons les informations et notre méthodologie de recherche. » La déclaration ne faisait aucune mention de l’exposition publique des identités des sources ayant fourni des informations de manière confidentielle.

Dans une déclaration interne envoyée aux employés de HRW le 9 novembre et obtenue par The Intercept, Sari Bashi, directrice du programme de l’organisation, a informé le personnel d’une « vulnérabilité de sécurité concernant la base de données KST qui contient des données personnelles, telles que les noms et numéros de téléphone des sources ayant fourni des informations aux chercheurs de KST et certains détails des incidents qu’ils ont signalés. » Elle a ajouté que HRW avait « convoqué une équipe pour gérer cet incident », notamment des responsables de haut niveau, du personnel de sécurité et de communication, ainsi que le conseiller juridique général de l’organisation.

La déclaration interne a également noté qu’un des partenaires de HRW dans la gestion du KST avait « embauché une entreprise de cybersécurité tierce pour enquêter sur l’étendue de l’exposition des données confidentielles et pour nous aider à mieux comprendre les implications potentielles. »

« Nous discutons toujours avec nos organisations partenaires des mesures nécessaires pour remplir nos responsabilités envers les sources du KST en RDC dont les informations personnelles ont été compromises », indique la déclaration, précisant que HRW travaille avec le personnel en RDC pour « comprendre, se préparer et répondre à toute augmentation des risques de sécurité pouvant découler de cette situation. » HRW a demandé à ses employés de ne pas publier sur les réseaux sociaux au sujet de la fuite ou de partager publiquement des articles de presse à ce sujet en raison de « la nature très sensible des données et des risques de sécurité possibles. »

La déclaration interne a également déclaré que « ni HRW, ni nos partenaires, ni les chercheurs du KST en RDC n’ont reçu d’informations suggérant que quiconque a été menacé ou blessé en raison de cette vulnérabilité de la base de données. »

The Intercept n’a trouvé aucune instance d’individus affectés par les défaillances de sécurité, mais il est actuellement inconnu si certaines des milliers de personnes impliquées ont été blessées.

« Nous regrettons profondément la vulnérabilité de sécurité dans la base de données KST et partageons les préoccupations concernant les implications plus larges en matière de sécurité« , a déclaré Mei Fong, directrice des communications de Human Rights Watch, à The Intercept. Fong a déclaré dans un e-mail que l’organisation « traite la vulnérabilité des données dans la base de données KST, ainsi que les préoccupations concernant la méthodologie de recherche du projet KST, avec la plus grande sérieux. »

Fong a ajouté : « Human Rights Watch n’a pas créé ou géré le site Web KST. Nous travaillons avec nos partenaires pour soutenir une enquête afin de déterminer combien de personnes – en dehors du nombre limité dont nous avons actuellement connaissance – ont pu accéder aux données du KST, quels risques cela peut poser pour d’autres et quelles sont les prochaines étapes. La sécurité et la confidentialité des personnes affectées sont notre préoccupation principale.« 

Deux sources associées au KST ont déclaré à The Intercept que, en interne, le personnel du KST imputait le problème de sécurité à la Bridgeway Foundation, l’un des donateurs qui a contribué à concevoir et à financer le KST et qui s’est publiquement attribué le mérite d’être un « partenaire fondateur » du projet.

Bridgeway est la branche philanthropique d’une société d’investissement basée au Texas. Connu pour son soutien à la campagne « Kony 2012 », l’organisation a été impliquée dans ce qu’un historien du U.S. Army Special Operations Command a appelé « un activisme intense et un lobbying » qui ont ouvert la voie à l’intervention militaire américaine en Afrique centrale. Ces efforts de Bridgeway et d’autres ont contribué à faciliter un effort militaire américain de 780 millions de dollars visant à traquer Joseph Kony, le chef d’un groupe armé ougandais connu sous le nom d’Armée de résistance du Seigneur, ou LRA, un effort qui a échoué.

Plus récemment, la fondation a été accusée de s’associer aux forces de sécurité de l’Ouganda dans le but de faire entrer les États-Unis dans « un autre bourbier dangereux » en RDC. « Pourquoi », demandait Helen Epstein dans une enquête de 2021 pour The Nation, « Bridgeway, une fondation qui prétend œuvrer pour mettre fin aux crimes contre l’humanité, est-elle impliquée avec l’une des agences de sécurité les plus impitoyables d’Afrique? »

Un expert du Congo a déclaré que Bridgeway jouait le rôle d’un « corsaire humanitaire » pour le gouvernement américain et utilisait des tactiques telles que « l’intelligence privée et la formation militaire ». Dans le cadre des efforts de Bridgeway pour retrouver Kony, il a contribué à créer le LRA Crisis Tracker, une plateforme presque identique au KST qui suit les attaques de la milice ougandaise. Après s’être intéressé aux groupes armés en RDC, Bridgeway a discrètement poussé à la création d’une plateforme similaire pour la RDC, en partenariat avec NYU et HRW pour lancer le KST en 2017.

Alors que le Congo Research Group de l’Université de New York supervisait la « collecte et la triangulation des données » pour le KST, et que HRW fournissait une formation et un soutien aux chercheurs du KST, la Bridgeway Foundation offrait un « soutien financier et technique« , selon un rapport de 2022 rédigé par des responsables de la fondation, dont Tara Candland, vice-présidente de la recherche et de l’analyse chez Bridgeway, et Laren Poole, directeur des opérations. Dans un rapport publié plus tôt cette année, Poole et d’autres ont écrit que la fondation n’avait « aucun rôle dans le processus de suivi des incidents ».

Plusieurs sources liées au personnel du KST ont déclaré à The Intercept que Bridgeway était responsable de la conclusion de contrats avec les sociétés ayant conçu le site Web et le système de collecte de données du KST, y compris une société technologique appelée Semantic AI. Le site Web de Semantic mentionne un partenariat avec Bridgeway pour analyser la violence en RDC, faisant référence à leur produit comme un « logiciel de renseignement » qui « permet à Bridgeway et à leurs partenaires d’agir pour protéger la région. » L’étude de cas ajoute que la plateforme KST aide Bridgeway à « suivre, analyser et contrer » les groupes armés en RDC.

Poole a déclaré que le KST avait engagé une entreprise de cybersécurité pour mener une « évaluation complète de la sécurité des serveurs et de l’environnement d’hébergement dans le but de mieux comprendre la nature et l’étendue de l’exposition. » Mais il semble que les réponses aux questions les plus fondamentales ne soient pas encore connues.