NEW DELHI – Pendant des mois, le père Stan Swamy, un prêtre jésuite de 84 ans, a clamé son innocence devant les tribunaux et a plaidé pour des soins médicaux, mais les autorités indiennes lui ont refusé la libération sous caution. Il est décédé dans un hôpital en juillet 2021 après avoir passé plus de huit mois en prison pour terrorisme. Maintenant, un examen d’une copie électronique de son ordinateur par Arsenal Consulting, une société de criminalistique numérique basée dans le Massachusetts, conclut qu’un pirate informatique a infiltré son appareil et déposé des preuves, selon un nouveau rapport de la société. L’analyse est une preuve supplémentaire que Swamy et ses co-accusés ont été piégés dans une affaire qui illustre la répression du gouvernement indien contre la société civile et les critiques de premier plan, selon l’équipe de défense.

Plus d’une douzaine de militants, universitaires et avocats ont été emprisonnés en vertu d’une loi antiterroriste – certains pendant plus de quatre ans – accusés d’avoir des liens avec un groupe armé maoïste interdit qui vise à renverser le gouvernement. Ils nient les accusations. La loi stricte sur le terrorisme a suscité des critiques en partie parce que l’accusé peut rarement obtenir une caution et que les affaires portées en vertu de la loi ont un faible taux de condamnation.

Ils ont été accusés d’avoir comploté pour renverser le gouvernement Modi. La preuve a été plantée, selon un nouveau rapport.

En 2021, le Washington Post a rapporté que les appareils d’au moins deux accusés dans l’affaire avaient été compromis par des pirates qui avaient déposé des dizaines de documents incriminants dans les appareils. Cette campagne de logiciels malveillants ciblait des personnes autres que celles faisant l’objet d’accusations dans cette affaire.

Par ailleurs, l’enquête sur le projet Pegasus par The Post et 16 autres organes de presse a révélé que certains des accusés figuraient sur une liste de cibles de surveillance pour les logiciels espions fournie par la société israélienne NSO Group aux gouvernements ou à leurs agences. Le gouvernement indien n’a ni confirmé ni nié être un client de l’ONS. En juin, Wired a signalé des liens entre la campagne de piratage et la police indienne, qui n’a pas répondu au rapport.

Les nouvelles découvertes jettent plus de lumière sur un cas qui a continué à transpercer la nation. Des groupes de la société civile disent qu’il s’agit d’un exemple effrayant de la persécution des défenseurs des droits humains sous le gouvernement du Premier ministre Narendra Modi.

Swamy, portant des lunettes et dégingandé, a défendu les droits des jeunes tribaux du centre de l’Inde accusés d’être maoïstes – avant que la police ne l’inculpe du même crime.

Le dernier rapport d’Arsenal indique que Swamy a été la cible d’une vaste campagne de logiciels malveillants pendant près de cinq ans, la plus longue connue de tous les accusés, jusqu’à ce que son appareil soit saisi par la police en juin 2019. Au cours de cette période, le pirate a obtenu un accès complet et avait le contrôle total de son ordinateur, déposant des dizaines de fichiers dans un dossier caché à son insu.

Arsenal a mené ses travaux à la demande de l’équipe de défense du groupe.

Ces documents – de prétendues lettres entre les accusés et le groupe maoïste – sont cités par la police comme preuves contre Swamy et d’autres dans ce qui est connu sous le nom d’affaire Bhima Koregaon. Des groupes internationaux de défense des droits de l’homme, y compris des experts des Nations Unies, ont précédemment appelé le gouvernement indien à libérer les accusés, au moins sous caution, compte tenu de leur âge avancé et de leur mauvaise santé.

L’Agence nationale d’enquête, l’autorité chargée des poursuites dans l’affaire, n’a pas répondu aux demandes de commentaires.

Les conclusions d’Arsenal “effacent” le nom de Swamy, a déclaré son ami le père Joseph Xavier. Il a déclaré que le rapport prouve que Swamy était « systématiquement ciblé et accusé d’avoir fait entendre sa voix en faveur de la [tribals], ce qui nuit aux intérêts de l’État. Un plaidoyer pour abandonner les charges retenues contre les accusés sur la base du premier rapport d’Arsenal est en instance devant les tribunaux.

Deux experts en logiciels malveillants et en criminalistique numérique ont examiné le rapport à la demande de The Post et ont déclaré que ses conclusions étaient fondées.

Le rapport d’Arsenal est «vraiment convaincant» et il existe des «preuves solides» que l’ordinateur de Swamy était infecté par un logiciel malveillant et qu’un opérateur poussait des fichiers incriminants vers le système, a déclaré Robert Jan Mora, expert en criminalistique numérique chez Volexity, une société de cybersécurité basée dans la région de DC, qui a examiné le rapport. Il a ajouté qu’Arsenal devrait publier plus en détail comment le malware NetWire a laissé des traces, ce qui pourrait profiter à d’autres sur le terrain.

Alessandro Di Carlo, directeur de la criminalistique chez Certego, une société italienne de cybersécurité, a déclaré que l’analyse était “approfondie et complète”.

Le nouveau rapport d’Arsenal indique que l’ordinateur portable de Swamy a été infecté à partir d’octobre 2014 par NetWire, un logiciel malveillant disponible dans le commerce qui peut télécharger et télécharger des fichiers depuis l’ordinateur d’une cible, enregistrer les frappes au clavier et accéder aux e-mails et aux mots de passe.

Le pirate non identifié dans l’affaire Swamy est la même personne qui a ciblé les co-accusés de Swamy, l’activiste Rona Wilson et l’avocat Surendra Gadling, étant donné l’utilisation des mêmes serveurs de commande et de contrôle et des mêmes configurations NetWire, y compris les mots de passe du pirate, selon Arsenal.

Le pirate a déployé WinSCP, un outil de transfert de fichiers gratuit et open source pour Windows, pour copier plus de 24 000 fichiers et dossiers de l’ordinateur et des périphériques de stockage amovibles de Swamy sur le propre serveur du pirate, indique le rapport.

Le pirate informatique a planté des documents pour la première fois sur l’ordinateur de Swamy en juillet 2017 et a continué à le faire pendant deux ans, selon Arsenal. Les documents n’ont jamais été ouverts et Swamy n’a jamais interagi avec eux, indique le rapport.

“Je n’ai jamais vu autant de preuves déposées auparavant”, a déclaré Mora, qui a effectué des analyses de logiciels malveillants dans le cadre d’enquêtes sur des violations et d’évaluations de sécurité très médiatisées pour des gouvernements. “C’est incroyable.”

Dans la nuit du 11 juin 2019, quelques heures avant que l’ordinateur de Swamy ne soit saisi par la police, le pirate informatique a effectué un “nettoyage” approfondi de ses activités, notamment en se débarrassant des logiciels malveillants et des données de surveillance et en créant des distractions en copiant un grand nombre de fichiers dans dossiers utilisés à des fins malveillantes avant le nettoyage.

Mark Spencer, président d’Arsenal, a qualifié cette activité “d’extrêmement suspecte” compte tenu de la saisie imminente de l’appareil.

Dans le rapport, Arsenal partage des captures d’écran des données brutes récupérées sur l’ordinateur de Swamy révélant les activités du pirate, y compris la commande utilisée pour supprimer le dossier où des dizaines de milliers de fichiers de l’ordinateur de Swamy étaient stockés avant d’être transférés sur le serveur.

L’année dernière, en mai, Swamy, atteint de la maladie de Parkinson, a fait appel au tribunal pour obtenir une caution médicale, affirmant qu’il y avait eu une régression “régulière” de ses fonctions corporelles.

L’agence antiterroriste indienne s’est opposée à sa demande de libération sous caution, affirmant que les documents médicaux qu’il a cités n’étaient pas une preuve concluante d’une maladie grave et que l’allégation de preuves fabriquées était une tentative de “confondre la vérité avec le mensonge”.

Sa mort a déclenché un tollé en Inde, les partis d’opposition, les groupes de la société civile et les citoyens appelant à rendre des comptes.