Préoccupations concernant la sécurité des données dans la Syrie post-Assad/تساؤلات حول أمن البيانات في سوريا ما بعد الأسد
Par Wael Qarssifi, boursier MTM 2023
Texte arabe ci-dessous/النص العربي أدناه
Après la chute du régime terroriste d'Assad en Syrie, le monde ne sait toujours pas dans quelle mesure faire confiance aux nouveaux dirigeants islamistes. Dans cette situation complexe et évolutive, la sécurité des données ne semble pas être une priorité. Wael Qarssifi, du Migration and Technology Monitor, explique pourquoi cette question ne doit pas être ignorée.
![Une photo géante de l'ancien président syrien Bachar al-Assad gît sur le sol à l'intérieur du palais présidentiel. [Omar Sanadiki/AP Photo]](https://images.squarespace-cdn.com/content/v1/626d808cc8cf094dc06d60e4/4ce7e1bc-397c-4206-91a1-d5d0e123b804/A+giant+picture+of+former+Syrian+President+Bashar+al-Assad+lies+on+the+ground+inside+the+Presidential+Palace.+Omar+Sanadiki_AP%C2%A0Photo.jpg)
Une photo géante de l'ancien président syrien Bachar al-Assad gît sur le sol à l'intérieur du palais présidentiel. [Omar Sanadiki/AP Photo], 8 décembre 2024
Le 7 janvier 2025, le Premier ministre intérimaire syrien a publié un avis à toutes les agences gouvernementales, associations et organisations de la société civile de ne pas collecter de données ou d'informations auprès des citoyens syriens par le biais de formulaires numériques, sauf par l'intermédiaire des plateformes du ministère des communications et des technologies de l'information. L'avis précise que toutes les activités qui incluent la collecte de données auprès des citoyens syriens doivent être organisées et approuvées par le ministère.
Après cinq décennies de régime brutal et une guerre qui a duré 14 ans, le pays est anéanti. En décembre 2024, le régime d'Assad a pris fin à la suite d'une campagne choquante de 11 jours menée par des factions militaires d'opposition dirigées par le groupe islamiste radical Hay'at Tahrir Al-Sham (HTS). Le gouvernement intérimaire a du pain sur la planche. La décision de limiter la collecte de données numériques au ministère de la communication est compréhensible en période de chaos, mais elle ne se traduit pas nécessairement par des pratiques qui protègent la sécurité des données en Syrie. Au contraire, un certain nombre de décisions douteuses prises par le gouvernement soulèvent des questions quant à la sécurité des données des Syriens.
Avant la décision du ministère sur la collecte des données, de nombreux médias syriens, dont SyriaNews et Syria TV, ont rapporté que des représentants du gouvernement avaient demandé aux travailleurs de télécharger une application baptisée "Sham Cash." Il s'agissait de partager leurs informations bancaires sur l'application afin de recevoir leurs salaires retardés depuis la chute du régime en décembre.
De nombreux fonctionnaires ont fait part de leurs inquiétudes concernant l'application de porte-monnaie électronique liée à la "Sham Bank", une ancienne société de transfert d'argent transformée en banque en 2018 et détenue par Hay'at Tahrir Al-Sham (HTS), l'organisation militante islamiste qui a mis fin au règne brutal du régime d'Assad le 8 décembre 2024. Le groupe islamiste fait toujours l'objet de sanctions internationales malgré sa récente dissolution. En raison de ces sanctions et du contrôle exercé par le régime Assad sur le secteur bancaire, l'entreprise appartenant au HTS qui gère l'application n'a jamais eu de lien avec l'écosystème bancaire syrien et ne bénéficie pas des garde-fous et de la réglementation monétaires habituels qui étaient appliqués par les banques dans le pays.
Les doutes concernant la fiabilité de l'application ne portent pas seulement sur la possibilité d'un vol de données, mais aussi sur le plan technologique. L'application, qui n'est disponible que pour les systèmes d'exploitation Android, n'est pas disponible sur le Google Play Store. Si l'argument consistant à éviter les sanctions par le développeur, cela ne change rien au fait que l'application n'est pas approuvée par un tiers tel que Google.
Dlshad Othman, ingénieur principal chargé du renseignement sur les cybermenaces chez Amazon Web Services (AWS), a fourni une analyse technique de l'application dans un post FacebookIl a déclaré que les utilisateurs sont obligés de "faire confiance au développeur" en raison de l'absence d'évaluation de la sécurité par une partie indépendante. M. Othman a fait part de ses préoccupations concernant les exigences imposées aux utilisateurs de l'application. Pour que l'application fonctionne, le téléphone doit désactiver le mode veille, permettre à l'application de fonctionner en arrière-plan et autoriser l'enregistrement de données biométriques telles que les images faciales et les empreintes digitales. Selon M. Othman, le serveur de l'application est également sujet à des cyberattaques. Othman a également déclaré que le problème de l'application n'est pas seulement technique, mais aussi lié à l'appropriation et au monopole dans lequel HTS prend ses décisions.
Concernant les menaces pesant sur les données
Le secteur bancaire n'est pas le seul à poser problème pour la sécurité des données des Syriens. Les experts mentionnent de nombreux portails de données gouvernementales qui font l'objet d'une cybermenace directe dans le pays.
Par exemple, un rapport de janvier 2025 rapport du Centre syrien des opérations de sécurité (SySOC) a montré que de nombreux portails utilisés par le gouvernement intérimaire syrien pour collecter des données manquent de mesures de sécurité importantes. Selon ce rapport, les formulaires de collecte de données, dont certains sont émis par le ministère de la santé, sont hébergés sur des serveurs en Turquie, ce qui suscite des inquiétudes supplémentaires quant à la sécurité des données. Des experts comme le SySOC craignent que des données aussi sensibles appartenant à des citoyens syriens ne soient pas hébergées sur des serveurs pouvant être contrôlés ou perturbés par le gouvernement ou des entités privées d'autres pays.
Le centre a également constaté que les systèmes utilisés par le gouvernement sont très vulnérables aux cyberattaques automatisées et qu'ils utilisent des logiciels anciens qui présentent des lacunes connues dans le protocole de sécurité. Le transfert de données s'effectue par des canaux non cryptés, ce qui facilite l'accès d'un tiers à ces données.
Dans ce rapport, le SySOC appelle le gouvernement à trouver immédiatement des solutions aux menaces sécuritaires urgentes afin de protéger les données des Syriens contre toute fuite ou cyberattaque.
Pourquoi les Syriens devraient-ils s'inquiéter ?
L'environnement technique peu sûr dans lequel le gouvernement syrien exploite un grand nombre de ses plateformes pourrait mettre les données de millions de Syriens sous la menace d'une fuite, d'une manipulation ou même d'une vente. En 2018, la base de données d'identification indienne "Aadhaar" a connu une énorme fuite de données qui a conduit à la vente sur internet des données de millions d'Indiens et a exposé nombre d'entre eux au risque d'usurpation d'identité. Les données divulguées comprenaient des noms, des coordonnées bancaires et des données biométriques. Les enquêtes menées dans cette affaire ont montré que des milliers d'anciens employés avaient encore accès à toutes ces données sensibles après avoir quitté leur poste, faute d'un protocole de protection adéquat.
Un autre problème important lié à la protection des données est le manque total de transparence. L'exemple de l'application "Sham Cash" et le fait que le gouvernement intérimaire de Damas ne révèle aucune information sur l'entreprise privée propriétaire de l'application tirent la sonnette d'alarme quant à d'éventuels monopoles sur les données ou au népotisme dans l'octroi d'accords de traitement des données à des entités privées spécifiques.
De telles pratiques peuvent conduire à des fuites de données très dangereuses, comme dans le cas de "Deep Root Analytics".Deep Root Analytics"aux États-Unis en 2016. Les données sensibles de 198 millions d'électeurs ont été divulguées avant les élections présidentielles. La société engagée par le Comité national républicain présentait de nombreuses faiblesses dans ses systèmes de protection et de protocole, ce qui a entraîné la fuite d'informations sensibles, notamment les noms et prénoms des électeurs, leurs dates de naissance, leurs adresses personnelles et postales, leurs numéros de téléphone, le parti auquel ils appartenaient et leur origine ethnique.
Les pays dotés de systèmes de protection des données beaucoup plus développés que la Syrie ont subi d'énormes fuites de données en raison du manque de protection et de l'absence de transparence des politiques en matière de données. La situation actuelle de la protection des données en Syrie ne laisse guère de place à l'optimisme si les problèmes majeurs signalés par de nombreux experts ne sont pas résolus rapidement.
En mars 2025, l'actuelle administration intérimaire devrait être remplacée par un gouvernement de transition qui devra relever le défi de la reconstruction d'un pays après des décennies de guerre. La protection des données ne semble pas occuper une place importante dans cet agenda. Pourtant, dans un monde de plus en plus numérique, le traitement des données est également un indicateur des droits individuels. Le nouveau gouvernement syrien aura la responsabilité de consulter les experts technologiques syriens, qu'ils se trouvent dans le pays ou dans la diaspora. L'objectif ne peut être qu'un : présenter à ses citoyens une politique de protection des données précisément définie et responsable, dont la transparence et la responsabilité publique doivent être les lignes directrices. Cette approche implique également un engagement en faveur d'une législation stricte réglementant la manière dont le gouvernement peut collaborer avec des entités privées en matière de collecte et de gestion des données.
Vous voulez en savoir plus ?
Suivez le travail de Wael ici, notamment ses reportages pour Al Jazeera sur les nombreux problèmes auxquels sont confrontés les réfugiés en Malaisie.
تساؤلات حول أمن البيانات في سوريا ما بعد الأسد
بعد سقوط نظام الأسد المرعب في سوريا، لا زال العالم متردداً بشأن الثقة بالقادة الإسلامين الجدد البلاد. في خضم هذا الوضع المعقد والمستمر بالتغير يبدو أن أمن البيانات لا يحظى بالأولوية. في هذا المقال يشرح وائل قرصيفي من مرصد الهجرة والتكنولوجيا ضرورة عدم تجاهل هذه القضية.
في 7 يناير الماضي، أصدر رئيس الوزراء السوري المؤقت بلاغاً لجميع المؤسات الحكومية والنقابات ومنظمات المجتمع المدني بعدم أي بيانات أو معلومات من المواطنين السورين عبر النماذج الإلكترونية بدون استعمال المنصات الخاصة بوزارة الاتصالات وتقانة المعلومات السورية، البلاغ حصر عمليات جمع البيانات من المواطنين في البلاد بالتنظيم من الوزارة المعنية.
بعد خمسة عقود من الحكم الوحشي وحرب دامت 14 عامًا، نظام الأسد في ديسمبر 2024 بعد حملة صادمة استمرت 11 يومًا من قبل فصائل المعارضة العسكرية بقيادة الجماعة الإسلامية المتشددة هيئة تحرير الشام. أمام الحكومة المؤقتة مسؤوليات كبرى وقرار تقييد جمع البيانات عبر الوسائل الرقمية بيد وزارة الاتصالات قرار مفهوم في سياق الفوضى الراهنة. القرار الجيد من الناحية النظرية لم يترجم بالضرورة بمارسات لحماية بيانات السوريين، بل على العكس صدرت من الحكومة الجديدة عدة قرارات مبهمة أثارت الكثير من التساؤلات حول خطط الحكومة لحماية بيانات المواطنين السوريين.
قبل أيام من إعلان الحكومة حصر عملية جمع البيانات بوزارة الاتصالات، نقلت العديد من وسائل الإعلام السورية من بينها سيريانيوز وتلفزيون سوريا أن مسؤولين في الوزارات الحكومية أصدروا توجيهات للموظفين بتحميل تطبيق "شام كاش"ومشاركة بيانات حساباتهم في التطبيق مع السلطات للحصول رواتبهم المؤجلة منذ سقوط النظام في ديسمبر.
وعبّر العديد من الموظفين الحكوميين عن مخاوفهم بشأن تحميل تطبيق المحفظة الإلكترونية المرتبط بمؤسسة "بنك شام" وهي شركة حوالات سابقة تحولت إلى مصرف في عام 2018 ويمتلكها أفراد مرتبطون بهيئة تحرير الشام، الحركة التي قادت العملية العسكرية التي أسقطت النظام في 8 ديسمبر 2024. الحركة الإسلامية ورغم حلها إلا أنها لازالت خاضعة للعديد من العقوبات الدولية، وبسبب تلك العقوبات وسيطرة نظام الأسد على القطاع المصرفي فلم يكن لهذا المصرف التابع للحركة أي اتصال مع القطاع المصرفي السوري، وافتقاد لمعظم آليات الأمان والقوانين التي تعمل بها المصارف عادة في سوريا.
التساؤلات حول التطبيق المذكور لا ترتبط فقط باحتمالية سرقة البيانات بل كذلك بالمستوى التقني ككل، غير متوفر سوى على الأجهزة التي تعمل بنظام أندرويد، ورغم ذلك فإنه غير متوفر على التطبيقات الرسمية مثل متجر جوجل، وفيما يعزى ذلك إلى العقوبات ومحاولة تلافيها من قبل مبرمجي التطبيق فإن ذلك لا يغير واقع أن التطبيق لم يخضع لأي موافقة من جهة ثالثة مثل جوجل بخصوص إجراءات الأمان.
المختص في مجال أمن المعلومات ومهندس في مجال التهديدات الرقمية لدى خدمات أمازون ويب (AWS)، دلشاد عثمان، كتب في منشور عبر موقع فيسبوك تحليلاً أولياً لوضع التطبيق، حيث أوضح أنه يتطلب من المستخدمين "الوثوق بالمطور" في غياب أي تقيم أمان من جهة ثالثة للتطبيق، وعبر عن تساؤلات بخصوص الأذونات التي يطلبها التطبيق. للعمل بالشكل المطلوب يمنع التطبيق الهاتف من دخول وضع السكون ويستمر بالعمل في الخلفية كما يقوم بتسجيل معلومات هامة مثل بصمة والوجه، كما أن الخوادم التي يعتمد التطبيق هي عرضة للهجمات السيبرانية بحسب الخبير الذي أوضح أن المشكلة مع التطبيق ليست تقنية ما هي مرتبطة بسياسة هيئة تحرير الشام واحتكارها لاتخاذ مثل هذه القرارات.
مخاوف تهدد بيانات السوريين
القطاع المصرفي ليس القطاع الوحيد بيانات السوريين تهديدات أمان جدية، يشير خبراء إلى عدة منصات حكومية تعمل تحت خطر سيبرانية قد تهدد أمن بيانات المواطنين في البلاد.
على سبيل المثال، أصدر المركز السوري للأمن الرقمي مؤخراً تقريراً أظهر أن العديد من المنصات المعتمدة لجمع بيانات من قبل الحكومة السورية المؤقتة تفتقر لإجراءات أمن أساسية لحماية البيانات والمعلومات التي تقوم بجمعها. بحسب التقرير فإن جمع البيانات التي تستعملها العديد من المؤسات الحكومية بما فيها وزارة الصحة تعمل على في تركيا، وعنوان بروتوكول إنترنت (IP) يشير إلى استضافة مشتركة قد تكون غير آمنة للبيانات التي يتم جمعها من المواطنين السورين، ورغم أن الخوادم التركية قد يكون ببب الشبكات التركية في إدلب إلا أن الأمنية لا تزال جدية بهذا. كما يحذر الخبراء مثل المركز السوري من خطورة معلومات حساسة تخص السورين على خوادم يُمكن التحكم بها أو تعطيلها من قبل حكومات أو خاصة أجنبية.
كما وجد المركز خلال تقييمه لتلك المنصات أن العديد من الأنظمة المستعملة من قبل الحكومة معرضة بشكل كبير للهجمات السيبرانية وتستعمل مكتبات برمجية قديمة تحمل ثغرات معروفة ويُمكن اختراقها، فيما يتم نقل العديد من البيانات والمعلومات من خلال اتصالات غير مشفرة ما قد لخطر الاعتراض من جهات ثالثة.
ودعا المركز الحكومة السورية المؤقتة لاتخاذ إجراءات عاجلة لحماية بيانات السوريين من واحتمالية التسريب، وذلك عبر نقل جميع المنصات الحكومية إلى خوادم مخصصة وتحديث البنية التحتية بما يتلائم مع التقنيات الحالية.
لماذا على السوريين الاهتمام بهذه القضية؟
البيئة التقنية غير الآمنة في سوريا والتي تعمل الحكومة المؤقتة من خلالها قد بيانات الملايين من السوريين في خطر التسريب أو التلاعب أو البيع. في عام 2018 شهدت الهند تسريباً لملايين البيانات من خلال نظام الهويات الحكومي "آداهار" وهو ما تسب بتعريض ملايين المواطنين الهنود انتحال الشخصية أو نشر بيانات شخصية حساسة، حيث تضمن التسريب أسماء المواطنين وتفاصيل حساباتهم البنكية ومعلوماتهم البيومترية، فيما كشفت التحقيقات أن آلاف الموظفين الحكوميين في الهند كانوا يمتلكون ولوجاً إلى تلك المعلومات قبل التسريب رغم أنهم غادروا وظائفهم منذ سنوات بسب غياب البروتوكولات الأمنية المناسبة.
للقضية بعد آخر يرتبط بالغياب التام للشفافية، فتطبيق "شام كاش" كمثال وتعامل الحكومة في دمشق معه دون الكشف عن أي معلومات مرتبطة بالشركة الخاصة التي تمتلكه يدق ناقوس الخطر بخصوص احتمالية تأسيس احتكارات أو محسوبيات في المستقبل لمنح صفقات لشركات خاصة للتعامل مع بيانات السورين.
مارسات مثل هذه قد تقود مستقبلاً لتسريبات بيانات خطيرة كما حصل في حالة "ديب روت أناليتكس" الأمريكية في عام 2016، حيث تسبت مشاكل الأمان في الشركة بتسريب بيانات 198 مليون ناخباً قبل الانتخابات الرئاسية. الشركة التي تعاقد معها الحزب الجمهوري الأمريكي كانت تعاني من العديد من الثغرات في نظمها الأمنية وهو ما تسب بتسريب بيانات. حساسة تتضمن أسماء الناخبين وتواريخ ميلادهم وعناوين السكن والبريد وأرقام والحزب الذي ينتمون إليه وتصنيفهم العرقي.
الواقع يؤكد أن الدول التي تمتلك نظم حماية بيانات أفضل بكثير من سوريا عانت سابقاً من تسريبات كبرى بسب غياب وسائل الأمن الضرورية وغياب الشفافية في السياسات أو الصفقات، والوضع الحالي في سوريا لا يترك مجالاً للتفاؤل في هذا الشأن إذا لم يتم حل المشاكل التقنية الواضحة التي أشار إليها من الخبراء وبشكل عاجل.
من المتوقع أن تستبدل الحكومة السورية المؤقتة بحكومة انتقالية في شهر مارس، وأمام هذه الحكومة تحد كبير لإعادة بناء بلد مدمر بعد أكثر من عقد من الحرب، ويبدو أن أمن البيانات لا يبدو على رأس سلم الأولويات في الوقت الحالي. في عالم رقمي وأكثر رقمية كل يوم، تعامل الحكومات مع بيانات المواطنين هو مؤشر هام على تعاملها الحريات والحقوق الفردية، والحكومة السورية مطالبة اليوم بالاعتماد على خبرات السورين في سوريا وفي المهجر نحو تحقيق هدف واحد وهو : تقديم سياسة واضحة وشفافة وقابلة للمساءلة حول حماية بيانات السوريين وتقديم قوانين صارمة بخصوص التعامل مع الشركات والهيئات الخاصة عندما يتعلق الأمر البيانات والتعامل معها.