Pour quelques dizaines de millions d’euros, un pays peut acheter à la start-up israélienne NSO Pegasus, un puissant outil d’espionnage ciblant les smartphones.

Le consortium de journalistes Forbidden Stories et Amnesty International ont eu accès à une liste de 50 000 numéros de téléphone – dont 1 000 Français – que les clients de l’entreprise avaient sélectionnés en vue d’une surveillance.

Parmi les cibles identifiées se trouvent au moins 180 journalistes, dont notre reporter Rosa Moussaoui, 600 hommes et femmes politiques, 85 militants des droits humains ou encore 65 chefs d’entreprise.

1.  Pegasus 3, le cheval de Troie qui a des ailes

Le programme phare de NSO se nomme Pegasus, un logiciel de type cheval de Troie, permettant de fouiller dans les données (calendriers, photos, contacts, messageries, appels enregistrés, coordonnées GPS…) des smartphones, iPhone comme Android, infectés, mais aussi de contrôler à distance la caméra et le micro intégrés à l’appareil, ce qui donne entre autres la possibilité d’écouter des conversations dans une pièce alors que le téléphone apparaît inactif.

Ce logiciel en est à sa troisième version.

Dans les premières moutures, la victime devait cliquer sur un lien pour charger le virus.

Mais, depuis au moins deux ans, Pegasus est devenu une technologie dite « zéro clic  ».

Pour réussir cette prouesse d’espionnage, cet outil numérique malveillant exploitait une faille jusqu’alors inconnue de WhasApp, l’application de messagerie propriété de Facebook et utilisée par plus de 1,5 milliard de personnes dans le monde.

La victime reçoit ce qui ressemble à un appel vidéo qui suffit à infecter le téléphone dès la première sonnerie, même si elle ne répond pas.

Selon Forbidden Stories, la réception d’un « iMessage », la messagerie d’Apple, ou d’un SMS infecté servirait de viatique pour prendre le contrôle de l’appareil.

Le contrat proposé par la société est un contrat de licence , qui inclut l’installation, la formation et la surveillance du dispositif.

Elle fournit un support technique, par mail et par téléphone, un bureau d’aide, depuis lequel ses ingénieurs peuvent régler des problèmes techniques à distance.

Auparavant, l’entreprise disposait aussi d’une équipe spécialisée dans l’ingénierie sociale au service de ses clients.

Il s’agissait de penser les messages les plus adaptés pour piéger les victimes.

Comme envoyer à la femme d’un journaliste assassiné un lien avec la promesse d’informations sur la mort de son époux, ce qui est arrivé, en 2017, à la veuve de Javier Valdez, qui enquêtait sur le trafic de drogue au Mexique.

2.  Une arme pour faire taire l’opposition

NSO propose une technologie dont le client dispose.

De ce fait, ce système de licence permet à la société de se laver les mains des conséquences de l’utilisation de Pegasus.

Selon la start-up israélienne, l’outil a été vendu à une soixantaine d’États.

Ses clients sont à 51 % des services de renseignements, 38 % des services de police et à 11 % des militaires.

« Notre mission : aider les gouvernements à protéger les innocents du terrorisme et du crime en leur fournissant la meilleure technologie de renseignement en son genre », assure-t-elle, promettant que, grâce à Pegasus, des attaques à la bombe contre des écoles ou des concerts ont été empêché, des pédophiles arrêtés et des enfants kidnappés retrouvés.

Étrange coïncidence, quelques jours avant la publication, dimanche, des premiers éléments de preuves de Forbidden Stories, NSO publiait son «premier rapport de transparence et responsabilité ».

L’entreprise y assure qu’un comité d’experts en droits de l’homme – le terme est répété 188 fois plus 22 fois dans sa version abrégée – audite la moralité de chaque client potentiel.

Globalement, tout semble bien aller puisque, depuis 2016, il n’y aurait eu que 5 cas litigieux.

Ces fâcheux clients ont vu leur licence révoquée.

Avec un manque à gagner de 80 millions d’euros.

Amnesty International ne partage clairement pas cet avis et se trouve en pointe dans la dénonciation de NSO.

La nouvelle secrétaire générale de l’ONG, Agnès Callamard, était encore tout récemment rapporteuse spéciale de l’Organisation des Nations unies (ONU) sur les exécutions extrajudiciaires, sommaires ou arbitraires, et avait notamment mené une enquête sur l’assassinat du journaliste saoudien Jamal Khashoggi, en 2018, au consulat d’Arabie saoudite à Istanbul.

Amnesty aurait analysé le téléphone de sa compagne et trouvé Pegasus.

Ce que continue de nier NSO.

L’ONG a monté une plateforme technique pour chercher sur les téléphones des cibles la trace du cheval de Troie.

Inde, Mexique, Maroc, Rwanda, Arabie saoudite, Togo, Azerbaïdjan, Hongrie, Turquie… ces pays, clients de l’entreprise israélienne, ont mis des journalistes sur écoute grâce à Pegasus.

Les journalistes français espionnés l’ont été au profit du Maroc.

« Le projet Pegasus montre à quel point le logiciel espion de NSO Group est une arme de choix pour les gouvernements répressifs qui cherchent à réduire au silence les journalistes, à s’en prendre aux militants et à écraser l’opposition, mettant ainsi d’innombrables vies en péril », assure Agnès Callamard.

3. L’exécutif israélien comptable des activités de NSO Group ?

«  Le meilleur moyen d’empêcher les puissants logiciels espions de NSO de tomber entre les mains de gouvernements répressifs est de retirer à l’entreprise sa licence d’exportation », expliquait en janvier 2020 Danna Ingleton, directrice adjointe d’Amnesty Tech (un collectif mondial de défenseurs, de pirates informatiques, de chercheurs et de technologues regroupés au sein d’Amnesty International).

À l’époque, une action en justice avait été intentée notamment par une trentaine de membres et de sympathisants d’Amnesty International Israël.

Sukti Dhital, directrice exécutive de l’Institut Bernstein pour les droits humains, relevait déjà :

« En autorisant les exportations de NSO (…), le ministère de la Défense n’a pas respecté les obligations juridiques qui lui incombent au regard des droits humains, à savoir la protection des droits à la vie privée, à la liberté d’expression et à la liberté d’opinion. »

Loin de suivre ces conseils, le ministère de la Défense israélien avait demandé au juge d’abandonner les poursuites ou, dans le cas contraire, d’imposer une obligation de réserve aux médias pour des raisons de sécurité nationale !

Dans un pays comme Israël, la cybersécurité est une affaire nationale.

L’Unité 8200, dépendant de l’armée, qui gère la collecte des renseignements avec la Direction des services informatiques, fournit de très nombreux cadres, voire des dirigeants, aux entreprises high-tech de la Silicon Valley israélienne, dont NSO.

Et quand il s’agit de cyberdéfense, les réflexes militaires ont la peau dure et les réseaux sont bien tissés.

Le quotidien britannique The Guardian affirme même que Benny Gantz, actuel ministre de la Défense, « réglemente étroitement NSO » et approuve chaque licence d’exportation individuelle avant que le logiciel de surveillance ne soit vendu à un nouveau pays.

Ce que conteste NSO, parlant de « théorie du complot que nos critiques colportent », tout en reconnaissant que, concernant les licences d’exportation, la société est soumise « à divers régimes de contrôle des exportations, y compris du ministère de la Défense israélien, similaire aux réglementations existantes dans d’autres pays démocratiques ».

C’est en tout cas à NSO que le gouvernement israélien a confié le développement de sa très intrusive application de « contact tracing » pour gérer la pandémie.

****************************************************