Un logiciel espion privé israélien utilisé pour pirater les téléphones portables de journalistes et de militants dans le monde entier.
Le logiciel espion Pegasus de NSO Group, dont la licence a été accordée à des gouvernements du monde entier, peut infecter des téléphones sans qu’il soit nécessaire de cliquer.
Par Dana Priest, Craig Timberg et Souad Mekhennet
Selon une enquête menée par le Washington Post et 16 médias partenaires, un logiciel espion de qualité militaire, dont une entreprise israélienne a concédé la licence à des gouvernements pour la traque de terroristes et de criminels, a été utilisé pour tenter et réussir le piratage de 37 smartphones appartenant à des journalistes, des militants des droits de l’homme, des chefs d’entreprise et deux femmes proches du journaliste saoudien assassiné Jamal Khashoggi.
Les téléphones figuraient sur une liste de plus de 50 000 numéros concentrés dans des pays connus pour surveiller leurs citoyens et également connus pour avoir été clients de la société israélienne NSO Group, un leader mondial dans l’industrie croissante et largement non réglementée des logiciels d’espionnage privés, selon l’enquête.
La liste ne permet pas de savoir qui y a inscrit les numéros, ni pourquoi, et on ignore combien de téléphones ont été ciblés ou surveillés. Mais l’analyse médico-légale des 37 smartphones montre que beaucoup d’entre eux présentent une corrélation étroite entre les horodatages associés à un numéro de la liste et le déclenchement de la surveillance, dans certains cas aussi brève que quelques secondes.
Forbidden Stories, une organisation de journalisme à but non lucratif basée à Paris, et Amnesty International, une organisation de défense des droits de l’homme, ont eu accès à la liste et l’ont partagée avec les organisations de presse, qui ont effectué des recherches et des analyses supplémentaires. Le Security Lab d’Amnesty International a effectué les analyses médico-légales des smartphones.
Les numéros figurant sur la liste ne sont pas attribués, mais les journalistes ont pu identifier plus de 1 000 personnes dans plus de 50 pays grâce à des recherches et des entretiens sur quatre continents : plusieurs membres de la famille royale arabe, au moins 65 chefs d’entreprise, 85 militants des droits humains, 189 journalistes et plus de 600 hommes politiques et responsables gouvernementaux, dont des ministres, des diplomates, des militaires et des agents de sécurité. Les numéros de plusieurs chefs d’État et premiers ministres figurent également sur la liste.
Parmi les journalistes dont les numéros figurent sur la liste, qui date de 2016, figurent des reporters travaillant à l’étranger pour plusieurs grands organismes de presse, dont un petit nombre de CNN, de l’Associated Press, de Voice of America, du New York Times, du Wall Street Journal, de Bloomberg News, du Monde en France, du Financial Times à Londres et d’Al Jazeera au Qatar.
Le ciblage des 37 smartphones semble être en contradiction avec l’objectif déclaré de la licence de NSO pour le logiciel espion Pegasus, qui, selon la société, est destiné uniquement à la surveillance des terroristes et des grands criminels. Les preuves extraites de ces smartphones, révélées ici pour la première fois, remettent en question les promesses de l’entreprise israélienne de surveiller ses clients pour les violations des droits de l’homme.
Le consortium de médias, intitulé Pegasus Project, a analysé la liste au moyen d’entretiens et d’analyses médico-légales des téléphones, et en comparant les détails avec des informations précédemment publiées sur NSO. Le laboratoire de sécurité d’Amnesty a examiné 67 smartphones sur lesquels des attaques étaient suspectées. Parmi ceux-ci, 23 ont été infectés avec succès et 14 ont montré des signes de tentative de pénétration.
Pour les 30 autres, les tests n’ont pas été concluants, dans plusieurs cas parce que les téléphones avaient été remplacés. Quinze de ces téléphones étaient des appareils Android, dont aucun ne présentait de signes d’infection réussie. Cependant, contrairement aux iPhones, les Androïdes n’enregistrent pas le type d’informations nécessaires au travail de détective d’Amnesty. Trois téléphones Android présentaient des signes de ciblage, comme des SMS liés à Pegasus.
Amnesty a partagé des copies de sauvegarde des données de quatre iPhones avec Citizen Lab, qui a confirmé qu’ils présentaient des signes d’infection par Pegasus. Citizen Lab, un groupe de recherche de l’université de Toronto spécialisé dans l’étude de Pegasus, a également procédé à un examen par les pairs des méthodes d’investigation d’Amnesty et les a jugées valables.
Dans de longues réponses avant publication, NSO a qualifié les conclusions de l’enquête d’exagérées et sans fondement. Elle a également déclaré qu’elle n’exploitait pas les logiciels espions concédés à ses clients et qu’elle n’avait « aucune idée » de leurs activités de renseignement spécifiques.
Après la publication, le directeur général de NSO, Shalev Hulio, s’est dit préoccupé, lors d’un entretien téléphonique avec le Post, par certains détails qu’il avait lus dans les articles sur Pegasus Project dimanche, tout en continuant à contester que la liste de plus de 50 000 numéros de téléphone ait quoi que ce soit à voir avec NSO ou Pegasus.
« L’entreprise se soucie des journalistes, des militants et de la société civile en général », a déclaré M. Hulio. « Nous comprenons que, dans certaines circonstances, nos clients peuvent abuser du système et, dans certains cas, comme nous l’avons signalé dans le rapport sur la transparence et la responsabilité [de NSO], nous avons fermé des systèmes pour des clients qui avaient abusé du système. »
Il a déclaré qu’au cours des 12 derniers mois, NSO avait mis fin à deux contrats en raison d’allégations de violations des droits de l’homme, mais il a refusé de nommer les pays concernés.
« Chaque allégation de mauvaise utilisation du système me concerne », a-t-il déclaré. « Cela viole la confiance que nous accordons aux clients. Nous enquêtons sur chaque allégation. »
NSO décrit ses clients comme étant 60 agences de renseignement, militaires et policières dans 40 pays, bien qu’elle ne confirme l’identité d’aucun d’entre eux, citant les obligations de confidentialité des clients. Le consortium a trouvé de nombreux numéros de téléphone dans au moins 10 groupes de pays, qui ont été soumis à une analyse plus approfondie : Azerbaïdjan, Bahreïn, Hongrie, Inde, Kazakhstan, Mexique, Maroc, Rwanda, Arabie saoudite et Émirats arabes unis. Citizen Lab a également trouvé des preuves que ces 10 pays ont été des clients de NSO, selon Bill Marczak, chargé de recherche principal.
Forbidden Stories a organisé l’enquête du consortium de médias, et Amnesty a fourni une analyse et un soutien technique mais n’a pas eu de contribution éditoriale. Amnesty a ouvertement critiqué les activités de NSO dans le domaine des logiciels espions et a soutenu une action en justice contre l’entreprise devant un tribunal israélien, visant à obtenir le retrait de sa licence d’exportation, mais sans succès. Après le début de l’enquête, plusieurs journalistes du consortium ont appris qu’eux-mêmes ou des membres de leur famille avaient été attaqués avec succès par le logiciel espion Pegasus.
Plus de 50 000 numéros de smartphones figurent sur une liste de téléphones concentrés dans des pays connus pour surveiller leurs citoyens et également connus pour avoir été clients de NSO Group, une société israélienne leader mondial de la cybersurveillance. Les chiffres concernent plus de 50 pays du monde entier.
Le plus grand nombre de numéros se trouvait au Mexique, où plus de 15 000 numéros, y compris ceux appartenant à des politiciens, des représentants syndicaux, des journalistes et d’autres critiques du gouvernement, figuraient sur la liste.
Une grande partie des numéros se trouvaient au Moyen-Orient, notamment au Qatar, aux Émirats arabes unis, au Bahreïn et au Yémen. Les EAU, l’Arabie saoudite et le Bahreïn feraient partie des clients de l’ONS.
En Inde, les numéros de téléphones appartenant à des centaines de journalistes, de militants, d’hommes politiques de l’opposition, de fonctionnaires et de chefs d’entreprise figuraient sur la liste, de même que les numéros de plusieurs autres pays de la région, dont l’Azerbaïdjan, le Kazakhstan et le Pakistan.
Plus de 1 000 numéros français figuraient sur la liste. En Hongrie, les numéros associés à au moins deux magnats des médias figuraient parmi les centaines de numéros sur la liste, et les téléphones de deux journalistes en activité ont été ciblés et infectés, comme l’a montré une analyse médico-légale.
Au-delà des intrusions personnelles rendues possibles par la surveillance des smartphones, l’utilisation généralisée des logiciels espions est devenue une menace majeure pour les démocraties du monde entier, selon les critiques. Les journalistes sous surveillance ne peuvent pas recueillir en toute sécurité des informations sensibles sans se mettre en danger, eux et leurs sources. Les politiciens de l’opposition ne peuvent pas élaborer leurs stratégies de campagne sans que les personnes au pouvoir n’anticipent leurs mouvements. Les défenseurs des droits de l’homme ne peuvent pas travailler avec des personnes vulnérables – dont certaines sont victimes de leur propre gouvernement – sans les exposer à de nouveaux abus.
Par exemple, les analyses d’Amnesty ont montré que Pegasus visait les deux femmes les plus proches du chroniqueur saoudien Khashoggi, qui écrivait pour la section Opinions du Post. Le téléphone de sa fiancée, Hatice Cengiz, a été infecté avec succès dans les jours qui ont suivi son assassinat en Turquie le 2 octobre 2018, selon une analyse médico-légale du laboratoire de sécurité d’Amnesty. Figuraient également sur la liste les numéros de deux fonctionnaires turcs impliqués dans l’enquête sur son démembrement par une équipe de tueurs saoudiens. Khashoggi avait également une épouse, Hanan Elatr, dont le téléphone a été ciblé par quelqu’un utilisant Pegasus dans les mois précédant son assassinat. Amnesty n’a pas été en mesure de déterminer si le piratage avait réussi.
« Il s’agit d’un logiciel méchant, d’une méchanceté éloquente », a déclaré Timothy Summers, ancien ingénieur en cybersécurité dans une agence de renseignement américaine et aujourd’hui directeur informatique de l’Arizona State University. Avec lui, « on pourrait espionner la quasi-totalité de la population mondiale. Il n’y a rien de mal à construire des technologies qui permettent de collecter des données ; c’est parfois nécessaire. Mais l’humanité n’est pas dans un endroit où nous pouvons avoir autant de pouvoir juste accessible à n’importe qui. »
En réponse à des questions détaillées du consortium avant publication, NSO a déclaré dans un communiqué qu’elle n’exploitait pas les logiciels espions dont elle concédait la licence à ses clients et qu’elle n’avait pas un accès régulier aux données qu’ils recueillent. L’entreprise a également déclaré que ses technologies ont permis de prévenir des attaques et des attentats à la bombe et de démanteler des réseaux de trafic de drogue, de sexe et d’enfants. « Pour dire les choses simplement, NSO Group a pour mission de sauver des vies, et la société s’acquittera fidèlement de cette mission sans se laisser décourager, malgré toutes les tentatives continues de la discréditer sur de faux motifs », a déclaré NSO. « Vos sources vous ont fourni des informations qui n’ont aucune base factuelle, comme en témoigne l’absence de documents justificatifs pour de nombreuses affirmations. »
La société a nié que sa technologie ait été utilisée contre Khashoggi, ou ses proches ou associés.
« Comme NSO l’a déjà déclaré, notre technologie n’a été associée en aucune façon au meurtre odieux de Jamal Khashoggi. Cela inclut l’écoute, la surveillance, le suivi ou la collecte d’informations. Nous avons déjà enquêté sur cette allégation, immédiatement après le meurtre odieux, qui, une fois encore, est faite sans validation. »
Thomas Clare, un avocat spécialisé dans la diffamation engagé par NSO, a déclaré que le consortium avait « apparemment mal interprété et mal caractérisé des données sources cruciales sur lesquelles il s’est appuyé » et que son reportage contenait des hypothèses erronées et des erreurs factuelles.
NSO Group a de bonnes raisons de croire que cette liste de « milliers de numéros de téléphone » n’est pas une liste de numéros ciblés par des gouvernements utilisant Pegasus, mais qu’elle peut faire partie d’une liste plus importante de numéros qui auraient pu être utilisés par des clients de NSO Group à d’autres fins », écrit M. Clare.
En réponse aux questions de suivi, NSO a qualifié le chiffre de 50 000 d’ »exagéré » et a déclaré qu’il était beaucoup trop important pour représenter les chiffres ciblés par ses clients. Sur la base des questions qui lui ont été posées, NSO a déclaré qu’elle avait des raisons de croire que le consortium basait ses conclusions « sur une interprétation trompeuse des données divulguées à partir d’informations de base accessibles et manifestes, telles que les services HLR Lookup, qui n’ont aucun rapport avec la liste des clients cibles de Pegasus ou de tout autre produit de NSO … nous ne voyons toujours pas de corrélation entre ces listes et quoi que ce soit lié à l’utilisation des technologies du groupe NSO ».
Le terme HLR, ou Home Location Register, désigne une base de données essentielle au fonctionnement des réseaux de téléphonie cellulaire. Ces registres conservent des informations sur les réseaux des utilisateurs de téléphones cellulaires et leurs emplacements généraux, ainsi que d’autres informations d’identification qui sont utilisées régulièrement pour acheminer les appels et les textes. Les services de recherche HLR fonctionnent sur le système SS7 que les opérateurs cellulaires utilisent pour communiquer entre eux. Ces services peuvent être utilisés comme une étape vers l’espionnage des cibles.
Karsten Nohl, expert en sécurité des télécommunications et scientifique en chef de Security Research Labs à Berlin, a déclaré qu’il n’avait pas de connaissance directe des systèmes de NSO, mais que les consultations HLR et autres requêtes SS7 sont largement utilisées par l’industrie de la surveillance, souvent pour quelques dizaines de milliers de dollars par an.
« Il n’est pas difficile d’obtenir cet accès. Compte tenu des ressources du NSO, il serait fou de penser qu’il ne dispose pas d’un accès SS7 depuis au moins une douzaine de pays », a déclaré M. Nohl. « Depuis une douzaine de pays, vous pouvez espionner le reste du monde. »
Pegasus a été conçu il y a une dizaine d’années par d’anciens cyberespions israéliens aux compétences aiguisées par le gouvernement. Le ministère israélien de la Défense doit approuver toute licence accordée à un gouvernement qui souhaite l’acheter, selon de précédentes déclarations de l’ONS.
« En matière de politique, l’État d’Israël approuve l’exportation de produits cybernétiques exclusivement à des entités gouvernementales, pour un usage légal, et uniquement dans le but de prévenir et d’enquêter sur la criminalité et le contre-terrorisme, en vertu de certificats d’utilisation finale/utilisateur final fournis par le gouvernement acquéreur », a déclaré dimanche un porte-parole de l’établissement de défense israélien. « Dans les cas où les articles exportés sont utilisés en violation des licences d’exportation ou des certificats d’utilisation finale, des mesures appropriées sont prises. »
Les numéros d’une douzaine d’Américains travaillant à l’étranger ont été découverts sur la liste, dans tous les cas sauf un, alors qu’ils utilisaient des téléphones enregistrés sur des réseaux cellulaires étrangers. Le consortium n’a pas pu effectuer d’analyse médico-légale sur la plupart de ces téléphones. NSO affirme depuis des années que son produit ne peut être utilisé pour surveiller les téléphones américains. Le consortium n’a pas trouvé de preuve de pénétration réussie de logiciels espions sur des téléphones portant l’indicatif du pays américain.
« Nous maintenons également nos déclarations précédentes selon lesquelles nos produits, vendus à des gouvernements étrangers contrôlés, ne peuvent pas être utilisés pour effectuer de la cybersurveillance aux États-Unis, et aucun client n’a jamais obtenu de technologie lui permettant d’accéder à des téléphones avec des numéros américains », a déclaré la société dans son communiqué. « C’est technologiquement impossible et cela réaffirme le fait que les affirmations de vos sources n’ont aucun fondement. »
Comment fonctionne Pegasus
La cible : Quelqu’un envoie ce que l’on appelle un lien piège sur un smartphone, qui persuade la victime d’appuyer sur le bouton et de l’activer – ou qui s’active lui-même sans aucune saisie, comme dans les hacks « zéro-clic » les plus sophistiqués.
Infecter : Le logiciel espion capture et copie les fonctions les plus élémentaires du téléphone, comme le montrent les documents marketing de NSO, enregistrant les images des caméras et du microphone et collectant les données de localisation, les journaux d’appels et les contacts.
Suivre : L’implant transmet secrètement ces informations à un agent qui peut les utiliser pour établir une carte des détails sensibles de la vie de la victime.
Apple et d’autres fabricants de smartphones se livrent depuis des années à un jeu du chat et de la souris avec NSO et d’autres fabricants de logiciels espions.
« Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits de l’homme et les autres personnes qui cherchent à rendre le monde meilleur », a déclaré Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple. « Depuis plus d’une décennie, Apple est à la pointe de l’innovation en matière de sécurité et, par conséquent, les chercheurs en sécurité s’accordent à dire que l’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé du marché. Les attaques comme celles décrites sont très sophistiquées, leur développement coûte des millions de dollars, leur durée de vie est souvent courte et elles sont utilisées pour cibler des personnes spécifiques. Bien que cela signifie qu’elles ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données. »
Certaines techniques d’intrusion de Pegasus détaillées dans un rapport de 2016 ont été modifiées en quelques heures après avoir été rendues publiques, soulignant la capacité de NSO à s’adapter aux contre-mesures.
Pegasus est conçu pour échapper aux défenses des iPhones et des appareils Android et pour laisser peu de traces de son attaque. Les mesures habituelles de protection de la vie privée, comme les mots de passe forts et le cryptage, ne sont pas d’un grand secours contre Pegasus, qui peut attaquer les téléphones sans prévenir les utilisateurs. Il peut lire tout ce qu’un utilisateur peut lire sur un appareil, tout en volant des photos, des enregistrements, des données de localisation, des communications, des mots de passe, des journaux d’appels et des publications sur les médias sociaux. Les logiciels espions peuvent également activer des caméras et des microphones pour une surveillance en temps réel.
« Il n’y a tout simplement rien, du point de vue du cryptage, pour se protéger contre cela », a déclaré Claudio Guarnieri, alias « Nex », le chercheur italien de 33 ans d’Amnesty Security Lab qui a développé et réalisé l’analyse numérique de 37 smartphones présentant des traces d’attaques Pegasus.
Ce sentiment d’impuissance fait que Guarnieri, qui s’habille souvent en noir de la tête aux pieds, se sent aussi inutile qu’un médecin du XIVe siècle confronté à la peste noire sans aucun médicament utile. « Je suis surtout là pour tenir le compte des morts », dit-il.
L’attaque peut commencer de différentes manières. Elle peut provenir d’un lien malveillant dans un SMS ou un iMessage. Dans certains cas, l’utilisateur doit cliquer sur le lien pour déclencher l’infection. Ces dernières années, les sociétés de logiciels espions ont mis au point ce qu’elles appellent des attaques « sans clic », qui diffusent des logiciels espions en envoyant simplement un message au téléphone de l’utilisateur, sans qu’aucune notification ne soit émise. Les utilisateurs n’ont même pas besoin de toucher leur téléphone pour que les infections commencent.
De nombreux pays disposent de lois relatives aux écoutes téléphoniques et à l’interception des communications traditionnelles, mais peu d’entre eux disposent de garanties efficaces contre les intrusions plus profondes rendues possibles par le piratage des smartphones. « C’est plus sournois dans un sens, car il ne s’agit plus vraiment d’intercepter des communications et d’écouter des conversations. … Cela les couvre tous et va bien au-delà », a déclaré M. Guarnieri. « Cela a soulevé beaucoup de questions, non seulement du point de vue des droits de l’homme, mais même du point de vue des lois constitutionnelles nationales, pour savoir si cela est même légal ? ».
Clare, l’avocat de NSO, a attaqué les examens médico-légaux comme étant « une compilation d’hypothèses spéculatives et sans fondement » construites sur des hypothèses basées sur des rapports précédents. Il a également déclaré : « NSO ne connaît pas les activités de renseignement spécifiques de ses clients. »
Les conclusions du Pegasus Project sont similaires aux découvertes précédentes d’Amnesty, de Citizen Lab et d’organisations de presse du monde entier, mais les nouveaux rapports offrent une vision détaillée des conséquences personnelles et de l’ampleur de la surveillance et de ses abus.
Le consortium a analysé la liste et a trouvé des groupes de numéros avec des codes de pays et des zones géographiques similaires qui correspondent à des rapports précédents et à des recherches supplémentaires sur les clients des OSN à l’étranger. Par exemple, le Mexique a déjà été identifié dans des rapports et documents publiés comme un client des OSN, et les entrées de la liste sont regroupées par code de pays, code régional et géographie du Mexique. Dans plusieurs cas, les groupes contiennent également des numéros d’autres pays.
En réponse aux questions des journalistes, les porte-parole des pays où se trouvaient les groupes de numéros ont soit nié l’utilisation de Pegasus, soit nié que leur pays ait abusé de ses pouvoirs de surveillance.
Le bureau du Premier ministre hongrois Viktor Orban a déclaré que toute surveillance effectuée par cette nation l’était conformément à la loi.
« En Hongrie, les organes de l’État autorisés à utiliser des instruments secrets sont régulièrement surveillés par des institutions gouvernementales et non gouvernementales », a déclaré le bureau. « Avez-vous posé les mêmes questions aux gouvernements des États-Unis d’Amérique, du Royaume-Uni, de l’Allemagne ou de la France ? »
Les autorités marocaines ont répondu : « Il convient de rappeler que les allégations infondées publiées précédemment par Amnesty International et véhiculées par Forbidden Stories ont déjà fait l’objet d’une réponse officielle des autorités marocaines, qui ont catégoriquement rejeté ces allégations. »
Vincent Biruta, ministre rwandais des Affaires étrangères, a également démenti l’utilisation de Pégase.
« Le Rwanda n’utilise pas ce système logiciel, comme cela a été confirmé précédemment en novembre 2019, et ne possède pas cette capacité technique sous quelque forme que ce soit », a déclaré M. Biruta. « Ces fausses accusations font partie d’une campagne permanente visant à provoquer des tensions entre le Rwanda et d’autres pays, et à semer la désinformation sur le Rwanda au niveau national et international. »
« Quelle question !
Certains ont exprimé leur indignation même à l’idée d’espionner les journalistes.
Un journaliste du quotidien français Le Monde travaillant sur le projet Pegasus a récemment posé une telle question à la ministre hongroise de la Justice, Judit Varga, lors d’une interview sur les exigences légales en matière d’écoutes :
« Si quelqu’un vous demandait d’enregistrer un journaliste ou un opposant, vous ne l’accepteriez pas ? ».
« Quelle question ! » a répondu Varga. « C’est une provocation en soi ! » Un jour plus tard, son bureau a demandé que cette question et sa réponse à celle-ci « soient effacées » de l’interview.
Par le passé, l’ONS a rendu ses pays clients responsables de tous les abus présumés. Le mois dernier, NSO a publié son premier « Rapport sur la transparence et la responsabilité », affirmant que ses services sont essentiels pour les services de police et de renseignement qui tentent de rester en phase avec le 21e siècle.
« Les organisations terroristes, les cartels de la drogue, les trafiquants d’êtres humains, les réseaux pédophiles et d’autres syndicats du crime exploitent aujourd’hui les capacités de cryptage prêtes à l’emploi offertes par les applications de messagerie et de communication mobiles.
« Ces technologies offrent aux criminels et à leurs réseaux un havre de paix qui leur permet d’agir dans l’ombre et d’éviter la détection, en communiquant par le biais de systèmes de messagerie mobile impénétrables. Les organismes publics chargés de l’application de la loi et de la lutte contre le terrorisme dans le monde entier ont eu du mal à suivre. »
NSO a également déclaré qu’elle procédait à un examen rigoureux des antécédents de ses clients potentiels en matière de droits de l’homme avant de conclure un contrat avec eux et qu’elle enquêtait sur les rapports d’abus, bien qu’elle n’ait pas cité de cas précis. Elle a affirmé avoir mis fin à des contrats avec cinq clients pour des violations documentées et que la diligence raisonnable de la société lui a coûté 100 millions de dollars en perte de revenus. Une personne familière avec les opérations de NSO, qui s’est exprimée sous le couvert de l’anonymat pour discuter des affaires internes de l’entreprise, a noté que, rien que l’année dernière, NSO avait mis fin à des contrats avec l’Arabie saoudite et Dubaï, dans les Émirats arabes unis, pour des raisons de droits de l’homme.
« Pegasus est très utile pour lutter contre le crime organisé », a déclaré Guillermo Valdes Castellanos, chef de l’agence de renseignement intérieur mexicaine CISEN de 2006 à 2011. « Mais l’absence totale de contrôles et d’équilibres [dans les agences mexicaines] signifie qu’il finit facilement dans des mains privées et est utilisé pour des gains politiques et personnels. »
Le Mexique a été le premier client étranger de NSO en 2011, moins d’un an après la création de l’entreprise dans la Silicon Valley israélienne, au nord de Tel Aviv.
En 2016 et 2017, plus de 15 000 Mexicains figuraient sur la liste examinée par le consortium médiatique, parmi lesquels au moins 25 reporters travaillant pour les principaux médias du pays, selon les dossiers et les entretiens.
L’un d’entre eux était Carmen Aristegui, l’un des journalistes d’investigation les plus en vue du pays et un collaborateur régulier de CNN. Carmen Aristegui, qui fait régulièrement l’objet de menaces pour avoir dénoncé la corruption des politiciens et des cartels mexicains, a déjà été présentée comme une cible de Pegasus dans plusieurs médias. À l’époque, elle a déclaré dans une interview récente que son producteur était également visé. Les nouveaux enregistrements et les analyses médico-légales montrent que des liens Pegasus ont été détectés sur le téléphone de son assistant personnel.
« Pegasus est quelque chose qui vient dans votre bureau, votre maison, votre lit, chaque coin de votre existence », a déclaré Aristegui. « C’est un outil qui détruit les codes essentiels de la civilisation ».
Contrairement à Aristegui, le reporter indépendant Cecilio Pineda était inconnu en dehors de l’État de Guerrero, dans le sud du pays, où sévit la violence. Son numéro apparaît deux fois sur la liste des 50 000. Un mois après la deuxième inscription, il a été abattu alors qu’il était allongé dans un hamac dans une station de lavage en attendant sa voiture. On ignore quel rôle, le cas échéant, la capacité de Pegasus à géolocaliser ses cibles en temps réel a joué dans son assassinat. Le Mexique fait partie des pays les plus meurtriers pour les journalistes ; 11 ont été tués en 2017, selon Reporters sans frontières.
« Même si Forbidden Stories avait raison de dire qu’un client de NSO Group au Mexique a ciblé le numéro de téléphone du journaliste en février 2017, cela ne signifie pas que le client de NSO Group ou les données collectées par le logiciel de NSO Group sont liés de quelque manière que ce soit au meurtre du journaliste le mois suivant », écrit Clare, l’avocat de NSO, dans sa lettre à Forbidden Stories. « Corrélation n’est pas synonyme de causalité, et les tireurs qui ont assassiné le journaliste auraient pu apprendre où il se trouvait à une station de lavage publique par un certain nombre de moyens qui ne sont pas liés à NSO Group, à ses technologies ou à ses clients. »
Le ministère mexicain de la Sécurité publique a reconnu l’année dernière que l’agence de renseignement intérieure, CISEN, et le bureau du procureur général ont acquis Pegasus en 2014 et ont cessé de l’utiliser en 2017 lorsque la licence a expiré. Les médias mexicains ont également rapporté que le ministère de la Défense avait utilisé le logiciel espion.
L’héritage de Snowden
L’industrie internationale florissante des logiciels espions d’aujourd’hui remonte à plusieurs décennies, mais a reçu un coup de pouce après la divulgation sans précédent en 2013 de documents hautement classifiés de l’Agence nationale de sécurité par l’entrepreneur Edward Snowden. Ils ont révélé que la NSA pouvait obtenir les communications électroniques de presque tout le monde car elle avait un accès secret aux câbles transnationaux transportant le trafic Internet dans le monde entier et aux données des sociétés Internet telles que Google et des entreprises de télécommunications géantes comme AT&T.
Même les alliés des États-Unis en Europe ont été choqués par l’ampleur de l’espionnage numérique américain, et de nombreuses agences nationales de renseignement ont entrepris d’améliorer leurs propres capacités de surveillance. Des entreprises à but lucratif, composées de retraités en milieu de carrière issus des agences de renseignement, ont vu un marché lucratif en devenir, libéré des réglementations et de la surveillance gouvernementales imposées aux autres industries.
L’expansion spectaculaire du cryptage de bout en bout par Google, Microsoft, Facebook, Apple et d’autres grandes entreprises technologiques a également incité les responsables de l’application de la loi et du renseignement à se plaindre d’avoir perdu l’accès aux communications de cibles criminelles légitimes. Cette situation a suscité des investissements supplémentaires dans des technologies, telles que Pegasus, qui ciblent des appareils individuels.
« Lorsque vous construisez un bâtiment, vous voulez vous assurer que le bâtiment tient la route, alors nous suivons certains protocoles », a déclaré Ido Sivan-Sevilla, expert en cyber-gouvernance à l’université du Maryland. En favorisant la vente d’outils de surveillance privés non réglementés, « nous encourageons la construction de bâtiments qui peuvent être forcés. Nous sommes en train de construire un monstre. Nous avons besoin d’un traité international sur les normes qui stipule que certaines choses ne sont pas acceptables. »
Sans normes et règles internationales, il existe des accords secrets entre des entreprises comme NSO et les pays qu’elles desservent.
L’utilisation sans entrave d’un logiciel espion de qualité militaire tel que Pegasus peut aider les gouvernements à supprimer l’activisme civique à un moment où l’autoritarisme est en hausse dans le monde entier. Elle donne également aux pays qui n’ont pas la sophistication technique de nations de premier plan comme les États-Unis, Israël et la Chine, la possibilité de mener un cyberespionnage numérique bien plus profond que jamais.
L’Azerbaïdjan, un allié de longue date d’Israël, a été identifié comme un client du NSO par Citizen Lab et d’autres. Le pays est une kleptocratie familiale, sans élections libres, sans système judiciaire impartial et sans médias indépendants. L’ancien territoire soviétique est dirigé depuis l’effondrement de l’Union soviétique il y a 30 ans par la famille Aliyev, dont le vol des richesses du pays et les systèmes de blanchiment d’argent à l’étranger ont entraîné des embargos étrangers, des sanctions internationales et des inculpations criminelles.
Malgré les difficultés, environ trois douzaines de reporters azerbaïdjanais continuent à documenter la corruption de la famille. Certains se cachent à l’intérieur du pays, mais la plupart ont été contraints à l’exil où ils ne sont pas si faciles à capturer. Certains travaillent pour Radio Free Europe/Radio Liberty, basée à Prague et financée par les États-Unis, qui a été expulsée du pays en 2015 pour ses reportages. Les autres travaillent pour un organisme d’investigation à but non lucratif appelé Organized Crime and Corruption Reporting Project, basé à Sarajevo, la capitale bosniaque, et qui est l’un des partenaires du projet Pegasus.
La principale journaliste d’investigation de la région est Khadija Ismayilova, que le régime s’efforce de réduire au silence depuis une décennie : Il a planté une caméra secrète dans le mur de son appartement, a pris des vidéos d’elle en train d’avoir des relations sexuelles avec son petit ami, puis les a publiées sur Internet en 2012 ; elle a été arrêtée en 2014, jugée et condamnée pour de fausses accusations de fraude fiscale et autres, et détenue dans des cellules de prison avec des criminels endurcis. Après l’indignation mondiale et l’intervention très médiatisée de l’avocate des droits de l’homme Amal Clooney, elle a été libérée en 2016 et placée sous le coup d’une interdiction de voyager.
« Il est important que les gens voient des exemples de journalistes qui n’arrêtent pas parce qu’ils ont été menacés », a déclaré Ismayilova dans une interview récente. « C’est comme une guerre. Vous quittez votre tranchée, puis l’attaquant arrive. (…) Vous devez garder votre position, sinon elle sera prise et alors vous aurez moins d’espace, moins d’espace, l’espace se réduira et alors vous aurez du mal à respirer. »
Le mois dernier, sa santé défaillante, elle a été autorisée à quitter le pays. Des collègues se sont arrangés pour tester immédiatement son smartphone. Forensics by Security Lab a déterminé que Pegasus avait attaqué et pénétré son appareil à de nombreuses reprises de mars 2019 à mai de cette année encore.
Elle avait supposé une sorte de surveillance, a déclaré Ismayilova, mais a tout de même été surprise par le nombre d’attaques. « Quand vous pensez qu’il y a peut-être une caméra dans les toilettes, votre corps cesse de fonctionner », a-t-elle déclaré. « Je suis passée par là, et pendant huit ou neuf jours, je n’ai pas pu utiliser les toilettes, nulle part, pas même dans les lieux publics. Mon corps a cessé de fonctionner ».
Elle a cessé de communiquer avec les gens car quiconque avec qui elle parlait finissait par être harcelé par les services de sécurité. « Vous ne faites confiance à personne, et puis vous essayez de ne pas avoir de plans à long terme avec votre propre vie parce que vous ne voulez pas que quelqu’un ait des problèmes à cause de vous. »
La confirmation de la pénétration de Pegasus la révolte. « Les membres de ma famille sont également victimisés. Les sources sont victimisées. Les personnes avec lesquelles j’ai travaillé, les personnes qui m’ont confié leurs secrets privés sont victimisées », a-t-elle déclaré. « C’est méprisable. … Je ne sais pas qui d’autre a été exposé à cause de moi, qui d’autre est en danger à cause de moi. »
La crainte d’une surveillance généralisée entrave la mécanique déjà difficile de l’activisme civique.
« Parfois, cette peur est le point », a déclaré John Scott-Railton, chercheur principal à Citizen Lab, qui a fait des recherches approfondies sur Pegasus. « La difficulté psychologique et l’autocensure qu’elle entraîne sont des outils clés des dictateurs et des autoritaires des temps modernes. »
Lorsque Siddharth Varadarajan, cofondateur du Wire, un média en ligne indépendant en Inde, a appris que l’analyse de Security Lab montrait que son téléphone avait été ciblé et pénétré par Pegasus, son esprit a immédiatement parcouru ses sources sensibles. Il a pensé à un ministre du gouvernement du Premier ministre Narendra Modi qui avait fait preuve d’une préoccupation inhabituelle en matière de surveillance lors de leur rencontre.
Le ministre avait d’abord déplacé la réunion d’un endroit à un autre au dernier moment, puis éteint son téléphone et demandé à Varadarajan de faire de même.
Ensuite, « les deux téléphones ont été placés dans une pièce et de la musique a été diffusée dans cette pièce… et j’ai pensé : « Ce type est vraiment paranoïaque. Mais peut-être était-il raisonnable », a déclaré Varadarajan dans une interview récente.
Lorsque les analyses médico-légales ont montré que son téléphone avait été pénétré, il a lui-même connu ce sentiment. « Vous vous sentez violé, il n’y a aucun doute là-dessus », a-t-il déclaré. « C’est une intrusion incroyable, et les journalistes ne devraient pas avoir à faire face à cela. Personne ne devrait avoir à faire face à cela ».
Priest a fait des reportages à Ankara, Istanbul et Washington, Timberg à Washington et Mekhennet à Berlin. Michael Birnbaum à Budapest, Mary Beth Sheridan à Mexico, Joanna Slater à New Delhi, Drew Harwell et Julie Tate à Washington, et Miranda Patrucic du Organized Crime and Corruption Reporting Project à Sarajevo ont contribué à ce rapport.
Forbidden Stories, une association de journalisme basée à Paris, et Amnesty International ont eu accès à une liste de numéros de téléphone concentrés dans des pays connus pour surveiller leurs citoyens et également connus pour avoir été clients de NSO Group. Les deux organisations ont partagé ces informations avec le Washington Post et 15 autres organisations de presse du monde entier, qui ont travaillé en collaboration pour effectuer des analyses et des reportages supplémentaires pendant plusieurs mois. Forbidden Stories a supervisé le projet Pegasus, tandis qu’Amnesty International a fourni une analyse médico-légale, mais n’a pas participé à la rédaction.
Plus de 80 journalistes de Forbidden Stories, du Washington Post, du Monde, de la Süddeutsche Zeitung, de Die Zeit, du Guardian, de Daraj, de Direkt36, du Soir, de Knack, de Radio France, de the Wire, de Proceso, d’Aristegui Noticias, du Organized Crime and Corruption Reporting Project, de Haaretz et de PBS Frontline ont participé à cet effort.
The Washington Post, 18/07/2021
Etiquettes : Forbidden Stories, Pegasus, NSO Group, logiciels espions, hacking, piratage, espionnage, Israël, Maroc,
