Un consortium de médias lève le voile sur le Projet Pegasus, un logiciel d’espionnage qui servait à espionner les téléphones de journalistes et militants de part le monde
Dimanche 18 juillet, un consortium composé de 16 médias rassemblés autour de l’organisation Forbidden Stories a fait une révélation effrayante en mettant en lumière un système d’espionnage mondial particulièrement bien rodé.
Son nom : Projet Pegasus, tiré du nom du logiciel espion vendu par NSO Group, une société israélienne. Ce logiciel se destine à des téléphones portables et est capable de récupérer les conversations — y compris celles provenant d’apps comme WhatsApp ou Signal — mais aussi les données de localisation, les photos, et il est même capable d’enregistrer le détenteur du smartphone contaminé à son insu.
Ce logiciel peut être implanté de différentes façons dans le mobile Android ou un iPhone : faille zero-day via une application comme iMessage ou WhatsApp, accès direct au smartphone, installation via un lien piégé tel un malware. Une fois qu’il s’y loge, il est difficile à détecter, puisque il se trouve au niveau du noyau du téléphone, c’est-à-dire au cœur du système d’exploitation, comme le décrit un article de l’entreprise de cybersécurité Lookout. Aucun chiffrement des données n’est efficace pour s’en protéger. Il passe donc outre celui d’applications comme Signal ou Telegram. En plus de récupérer les messages, les photos, les contacts et d’écouter les appels, il peut aussi servir à activer le micro et la caméra du mobile.
D’après NSO Group, Pegasus n’était toutefois destiné qu’à être utilisé pour surveiller des terroristes ou des grands criminels à travers le monde. Après analyse de près de 50 000 numéros de téléphone, le consortium révèle qu’il serait en réalité utilisé pour espionner des chef d’État, des députés, milliardaires, militaires haut gradés, journalistes ou encore avocats…
En France, plus de 1 000 personnes auraient été espionnés à l’aide de Pegasus, parmi lesquels on retrouve des « journalistes du Monde, de France 2, de France 24, de RFI, de L’Humanité… et l’éditorialiste du Figaro Eric Zemmour » indiquent Radio France et France Info. Lénaïg Bredoux et Edwy Plenel de Mediapart seraient également visés, tout comme Dominique Simonnot, contrôleuse générale des lieux de privation de liberté (CGLPL).
Au total, cette arme aurait été utilisée par une dizaine de gouvernements afin de cibler certains opposants. Pour l’heure, de la lumière doit encore être faite sur cette affaire. Interrogé au micro de France Info ce matin, Gabriel Attal, porte-parole du gouvernement, a dénoncé « des faits extrêmement choquants qui, s’ils sont avérés, sont extrêmement graves », tout en affirmant que la France n’était « pas partie prenante de ce logiciel ».
Une puissante cyber-arme
Ce logiciel particulier est édité par la société israélienne NSO Group. Une entreprise qui est désormais devenue leader de la surveillance téléphonique. NSO Group a été créé par deux anciens agents de l’unité 8200 de Tsahal. Une unité de hackers traquant les failles des systèmes et applications pour implanter des logiciels espions. Malgré ce qu’elle prétend, l’enquête publiée dans Le Monde montre que la société n’est pas toujours regardante et vend parfois son logiciel espion à qui veut l’acheter.
Elle compte une quarantaine d’États comme clients, dont le Maroc, le Kazakhstan ou l’Azerbaïdjan. En revanche, elle s’interdirait d’opérer sur une cinquantaine de pays et certains États jugés trop sensibles. C’est le cas des États-Unis, de la Russie ou d’Israël. D’ailleurs, c’est ce dernier qui lui délivre les autorisations pour commercialiser son logiciel et qui la pousse parfois à franchir la ligne rouge pour des raisons diplomatiques.
Comme le montre l’enquête, ce logiciel espion peut être considéré comme une véritable cyber-arme permettant de doter un petit pays d’un outil pouvant être utilisé pour lutter contre le terrorisme et la criminalité, mais aussi pour contrôler les médias et les opposants. Ce scandale montre surtout que, contrairement au marché de l’armement, la réglementation en matière de vente cyber-armes est très floue. Un flou juridique qui peut s’avérer dangereux lorsque cette puissante arme est vendue à un État répressif.
********
********
********
*******
«Il faut interdire ce commerce»
Au lendemain de ces publications, le lanceur d’alerte Edward Snowden, qui avait révélé en 2013 l’existence de plusieurs programmes de surveillance de masse américains et britanniques et qui vit désormais en Russie, a demandé d’interdire la commercialisation des logiciels espions, ainsi que d’instaurer la responsabilité pénale pour tous les acteurs du marché.
«Il devrait y avoir, selon moi, une responsabilité pénale pour toute implication dans ce marché. Il faut un moratoire global sur l’utilisation commerciale de ces outils. Il faut interdire ce commerce, supprimer la motivation du profit pour les gens qui participent à ça», a-t-il dit dans une interview au Guardian le 19 juillet.
Cette interdiction sera «la seule manière» de protéger le grand public, a-t-il insisté.
Il a pointé sur le fait que cette affaire concerne non pas des journalistes et des militants, mais tout le monde en général, car la collecte de données via ces méthodes représente une «attaque réfléchie, intentionnelle sur des infrastructures dont nous dépendons tous. Peu importe sous quel drapeau on vit, peu importe la langue qu’on parle, on est tous visés dans cette histoire».
Pour sa part, l’entreprise concernée, NSO Group a assuré que son logiciel servait uniquement à obtenir des renseignements contre des réseaux criminels ou terroristes et a nié «les fausses accusations».
«Au-delà de l’espionnage dont on connaissait l’existence»
L’affaire a fait réagir l’Onu, pour laquelle la surveillance d’État ne peut être autorisée que dans un contexte très restreint. «Je voudrais rappeler à tous les États que les mesures de surveillance ne peuvent être justifiées que dans des circonstances étroitement définies, avec un objectif légitime. Et ils doivent être à la fois nécessaires et proportionnés à cet objectif», a tweeté le 19 juillet Michelle Bachelet, Haut-Commissaire aux droits de l’Homme.
Les tentatives de récolte du bigdata ne datent pas d’hier. Les entreprises telles que Facebook, Amazon, Google recueillent des informations sur leurs utilisateurs. La différence majeure dans ce cas précis, c’est que cette collecte a des objectifs commerciaux, avance Snowden.
«Les gens disaient: pourquoi vous préoccuper de ce que fait le gouvernement, quand des entreprises commerciales espionnent les gens de la même façon? Ils pensaient à Facebook, Google, Amazon… Et ma réponse, c’était que, quel que soit le niveau de surveillance exercé par ces entreprises, elles ne peuvent pas vous mettre en prison. Elles ne peuvent pas tirer un missile sur votre voiture. Elles ne peuvent pas lancer une attaque de drone», poursuit-il.
Volet français
En France, où le gouvernement n’a pas acheté le Pegasus, le parquet de Paris a ouvert ce 20 juillet une enquête à la suite de plaintes de Mediapart et de deux de ses journalistes liées aux révélations sur l’utilisation du logiciel espion israélien.
Selon des informations du Monde, il aurait été employé par un service marocain à l’encontre des journalistes français, ce que le gouvernement de ce pays dément.
La veille, Dominique Simonnot, ancienne journaliste au Canard Enchaîné et victime du Pegasus, a raconté sur Franceinfo qu’elle avait été prévenue par un membre du consortium sur la surveillance «il y a quelques semaines». D’après elle, l’intrusion dans son téléphone date de 2019, quatre ans après la parution d’un article sur un chef des services de renseignement marocains.