Le consortium médiatique Pegasus Project a publié mardi de nouvelles révélations sur le ciblage par logiciels espions, par des gouvernements du monde entier, des smartphones de pas moins de 50.000 journalistes, personnalités des affaires et de la politique, et dissidents. Selon le Washington Post, la liste des personnes ciblées contient quatorze chefs d’État et de gouvernement de premier plan.
Aucun de ceux ayant été identifié n’a donné son téléphone pour une analyse médico-légale. L’infiltration de leurs appareils avec le logiciel espion n’a donc pu être confirmée. L’article du Post déclare toutefois que la liste des dirigeants ciblés comprenait «trois présidents, 10 Premiers ministres et un roi».
L’identité des quatorze personnes provient de la liste des 50.000 numéros de téléphone divulguée à l’association médiatique française «Histoires interdites» et à Amnesty International, puis examinée par les 17 organes de presse composant le projet Pegasus.
Selon le Post, les trois présidents en exercice sont Emmanuel Macron (France), Barham Salih (Irak) et Cyril Ramaphosa (Afrique du Sud). Les trois anciens premiers ministres sont Imran Khan (Pakistan), Mostafa Madbouly (Égypte) et Saad-Eddine El Othmani (Maroc). Les sept anciens premiers ministres: Ahmed Obeid bin Daghr (Yémen), Saad Hariri (Liban), Ruhakana Rugunda (Ouganda), Édouard Philippe (France), Bakitzhan Sagintayev (Kazakhstan), Noureddine Bedoui (Algérie) et Charles Michel (Belgique). Le roi est celui du Maroc, Mohammed VI.
Selon le Post, les groupes médiatiques qui participent au projet Pegasus ont confirmé la propriété des numéros de téléphone «grâce à des documents publics, aux carnets de contacts des journalistes et à des demandes de renseignements auprès de responsables gouvernementaux ou d’autres proches associés aux cibles potentielles».
Les révélations sur l’ampleur de l’utilisation du logiciel espion Pegasus à l’international entraînent une série de poursuites judiciaires et de crises politiques dans le monde entier. Mardi, par exemple, le gouvernement français a demandé une enquête sur l’information que le président Macron était l’une des personnes visées par l’opération de piratage.
Le Premier ministre français Jean Castex a déclaré à l’Assemblée nationale que le gouvernement avait ordonné des investigations. Un communiqué officiel de l’Élysée a déclaré: «Si les faits sont confirmés, ils sont évidemment très graves. On va faire toute la lumière sur ces révélations de presse. Certaines victimes françaises ont d’ores et déjà annoncé qu’elles se porteraient partie civile, et des enquêtes judiciaires seront donc ouvertes».
Les gouvernements ont pris sous contrat le logiciel espion Pegasus – développé par la société de cybersécurité NSO Group – depuis 2016 pour transformer les smartphones fonctionnant avec les dernières versions des systèmes d’exploitation iOS ou Android en dispositifs de surveillance 24 heures sur 24. Les versions initiales du logiciel utilisaient une technique appelée «spear-phishing», dans laquelle des messages textuels ou électroniques sont utilisés pour amener le propriétaire de l’appareil à cliquer sur un lien malveillant qui téléchargerait ensuite le logiciel espion sur le téléphone.
Ces méthodes étant devenues moins efficaces, NSO a mis au point des méthodes plus avancées pour installer Pegasus sur les smartphones, comme les attaques «zéro clic». Elles ne nécessitent aucune action de la part du propriétaire de l’appareil pour que le logiciel espion soit activé. Les méthodes «zero-click» exploitent les failles de sécurité du système d’exploitation pour s’introduire dans le smartphone. Le Guardian a rapporté dimanche, par exemple, que NSO avait exploité des vulnérabilités dans WhatsApp en plaçant le code malveillant directement dans le programme et en infectant le téléphone d’un utilisateur dès le téléchargement. Plus récemment, NSO a exploité une faiblesse de l’iMessage d’Apple pour obtenir «un accès pirate à des centaines de millions d’iPhones».
Le Guardian précise également que «Pegasus peut encore être installé via un émetteur-récepteur sans fil situé à proximité d’une cible, ou, selon une brochure de NSO, simplement installé manuellement si un agent peut voler le téléphone de la cible.»
Une fois qu’un téléphone est piraté par Pegasus, les opérateurs du logiciel espion peuvent récolter toutes les données présentes sur l’appareil. Cela comprend: les enregistrements d’appels téléphoniques; les messages texte; les carnets d’adresses; les calendriers; les messages électroniques; les historiques de navigation sur Internet; les données de géolocalisation et de cartographie; le lociciel peut également activer le microphone et la caméra.
NSO Group – dont le nom provient des prénoms de ses fondateurs, Niv Carmi, Shalev Hulio et Omri Lavie, tous anciens membres de l’unité 8200 des services de renseignement israéliens a été fondée en 2010 à Tel-Aviv. L’utilisation des logiciels de NSO pour espionner les journalistes et les opposants politiques avait initialement été révélée en 2012, suite à la signature d’un contrat de 20 millions de dollars avec le gouvernement du Mexique.
En 2014, NSO Group a été acheté par la société américaine de capital-investissement Francisco Partners pour 130 millions de dollars, et ces investisseurs ont ensuite mis la société de cybersécurité à la vente pour un milliard de dollars trois ans plus tard.
En 2018, Amnesty International a accusé NSO Group d’avoir aidé le régime d’Arabie saoudite à espionner un membre du personnel de l’organisation. Ensuite, on a allégué que le logiciel Pegasus de NSO a joué un rôle dans le meurtre du journaliste Jamal Khashoggi par le régime saoudien, en suivant ses déplacements dans les mois qui ont précédé sa mort. En 2019, WhatsApp a accusé NSO Group d’avoir injecté un logiciel espion dans son système en exploitant la fonction d’appel du logiciel.
NSO Group a toujours nié être responsable des attaques de logiciels malveillants en cours. Lorsque WhatsApp a présenté des preuves de piratage de smartphones à l'aide des outils de NSO, la société a rejeté la responsabilité des piratages sur ses clients. La société a récemment déclaré publiquement qu'elle avait vendu des licences pour Pegasus à 40 pays, non nommés, et continue à affirmer qu'elle ne conserve aucune des données de ses clients et n'exploite pas le logiciel une fois qu'il est vendu à un pays.
NSO Group a également affirmé qu’il est technologiquement impossible que son logiciel espion soit installé sur des smartphones aux États-Unis. Selon Slate, l’entreprise affirme que le logiciel Pegasus «s’autodétruira s’il se trouve à l’intérieur des frontières américaines».
En réponse aux déclarations absurdes de NSO Group, Edward Snowden, le lanceur d’alerte et ancien analyste du renseignement qui a révélé un programme mondial de surveillance électronique du gouvernement américain, a tweeté mardi après-midi: «L’affirmation de NSO qu’il est “technologiquement impossible” d’espionner les numéros de téléphone américains est un mensonge éhonté: une prouesse qui fonctionne contre l’iPhone de Macron fonctionnera de la même manière sur l’iPhone de Biden. Tout code écrit pour interdire de cibler un pays peut aussi être ‘désécrit’. C’est une feuille de vigne».
Plus tôt dans la journée, Snowden a commenté ainsi la révélation que le président français Macron figurait sur la liste des cibles: «Personne n’est à l’abri d’une industrie de conception des logiciels espions hors de contrôle. Les contrôles sur l’exportation ont échoué en tant que moyen de réglementer cette technologie dont on abuse facilement. Sans un moratoire mondial immédiat sur ce commerce, la situation ne fera qu’empirer».
Snowden a également dénoncé le Washington Post pour sa réponse éditoriale aux révélations de Pegasus. «La solution éditoriale du Washington Post au scandale de NSO est d’une faiblesse si embarrassante qu’elle est elle-même un scandale. Ces entreprises (et leurs hôtes) prétendent que “la transparence, la responsabilité et les exigences en matière de licence” sont déjà en place! Vous demandez moins que rien».
(Article paru d’abord en anglais le 21 juillet 2021)