Les retombées politiques de la révélation de l’utilisation par les gouvernements du logiciel espion NSO Pegasus basé en Israël se sont poursuivies la semaine dernière alors que des manifestations demandaient la démission du gouvernement de droite en Hongrie.
Le 26 juillet, environ 1.000 personnes organisées par des partis politiques d’opposition ont manifesté au Musée de la Maison de la Terreur à Budapest en réponse aux révélations que le gouvernement hongrois avait utilisé le logiciel espion pour surveiller l’activité de journalistes, d’hommes d’affaires et de politiciens. Le Musée de la Maison de la Terreur est installé dans le bâtiment où on interrogeait, torturait et assassinait des citoyens et contient des expositions sur les victimes des régimes fascistes et staliniens du XXe siècle.
Les manifestants ont exigé la démission du premier ministre Viktor Orbán et de la ministre de la Justice Judit Varga, qui est habilitée par la loi hongroise à autoriser la surveillance secrète sans contrôle judiciaire.
Les événements de Budapest ont été déclenchés par une enquête menée il y a deux semaines par un consortium de 16 médias appelé ‘Pegasus Project’. Celui-ci a analysé des documents fuités montrant que plus de 50.000 personnes avaient été ciblées par ce logiciel, leurs smartphones potentiellement piratés et transformés en dispositifs de surveillance fonctionnant 24 heures sur 24. Parmi les pays dont ces personnes sont originaires il y a la Hongrie, le Pakistan, l’Arabie saoudite, le Mexique, l’Azerbaïdjan, l’Inde et la France.
Le Groupe NSO a développé Pegasus ostensiblement comme outil permettant d’arrêter «les terroristes et les criminels», mais les informations divulguées ont montré que les nombreux clients gouvernementaux de cette société israélienne utilisaient le logiciel malveillant pour espionner des personnalités politiques majeures dont des présidents, des premiers ministres et des monarques en exercice.
Dirigé par l’association parisienne Histoires interdites (Forbidden Stories) et Amnesty International, le projet Pegasus — auxquel participent également le Washington Post et le Guardian — a effectué une analyse médico-légale des smartphones de certaines des personnes figurant sur la liste des cibles de Pegasus et a montré que leurs appareils présentaient des preuves de tentatives de piratage ou d’installation réussie de logiciels espions.
Alors que les informations fuitées comprenaient les numéros de téléphone d’environ 300 citoyens hongrois, l’analyse médico-légale a démontré qu’on avait utilisé Pegasus pour s’introduire dans les smartphones d’au moins cinq journalistes de ce pays. Selon InsightHungary, par exemple, les smartphones de «Szabolcs Panyi et András Szabó, du groupe d’investigation Direkt36», ont été piratés. Les téléphones de György Gémesi, homme politique d’opposition qui dirige le parti «Nouveau Départ» et de János Banáti, président de l’Association du barreau hongrois, figuraient également sur la liste fuitée des cibles de Pegasus, mais ces appareils n’ont pas subi l’examen médico-légal permettant de confirmer qu’ils avaient été piratés.
Alors que l’enquête journalistique met en évidence l’implication du gouvernement hongrois dans une opération d’espionnage, InsightHungary a indiqué le 22 juillet que les responsables gouvernementaux n’avaient ni confirmé ni démenti l’utilisation de Pegasus. Ils avaient toutefois déclaré que «la surveillance secrète en Hongrie ne se faisait que conformément aux lois en vigueur».
S’exprimant plus directement sur le sujet à Bruxelles, sans confirmer l’utilisation de Pegasus, le ministre de la Justice Varga a déclaré: «Ne soyons pas ridicules, chaque pays a besoin de tels outils! C’est une illusion si quelqu’un essaie d’en faire un problème». En outre, le chef de cabinet du premier ministre Orbán a déclaré à la presse que le gouvernement n’avait pas discuté de la question et n’avait «aucun plan pour mener une enquête sur les allégations d’espionnage», selon InsightHungary.
La crise politique en Hongrie suit de près celle du régime d’extrême droite de Narendra Modi en Inde, où environ 1.000 personnes ont été visées par Pegasus, dont des journalistes, des militants, des avocats et des universitaires. Parmi les numéros de téléphone mobile figurant sur la liste de données fuitée, on trouve deux appareils utilisés par le leader du Congrès, Rahul Ghandi, ainsi que cinq de ses proches amis.
Alors que NSO Group continue de se dégager de toute responsabilité dans le déploiement de son logiciel de piratage par les gouvernements du monde entier — la société a refusé de divulguer une liste de ses 60 comptes parmi 40 clients étatiques ou plus — la société a pris des mesures pour empêcher plusieurs gouvernements d’utiliser Pegasus en attendant une enquête sur les allégations.
Un représentant anonyme du Groupe NSO a déclaré à NPR le 29 juillet: «Une enquête est en cours sur certains clients. Certains de ces clients ont été temporairement suspendus». La source a ajouté que NSO «ne répondrait plus aux demandes des médias à ce sujet et ne jouerait pas le jeu de la campagne vicieuse et calomnieuse». Selon le Washington Post, les clients suspendus comprenaient l’Arabie saoudite, Dubaï et certaines agences publiques au Mexique.
Les experts en cybersécurité ont identifié Pegasus comme l’un des outils d’espionnage les plus puissants développés et déployés à ce jour. Contrairement aux techniques précédentes, qui exigent que l’utilisateur clique sur un élément contenu dans un SMS ou un courriel afin d’installer le logiciel malveillant, Pegasus est un piratage «zéro clic» qui pénètre la sécurité d’un smartphone simplement en lui envoyant un SMS qui n’a même pas besoin d’être ouvert par l’utilisateur pour infecter son système.
Le Dr Tim Stevens, directeur du Groupe de recherche sur la cybersécurité au King’s College de Londres, a expliqué la nature des vulnérabilités de type «jour-zero» au magazine BBC Science Focus: «C’est un fait que tous les très gros logiciels, comme un système d’exploitation comme iOS d’Apple ou Android ou tout autre, y compris les systèmes d’exploitation open source, comportent des bogues. Aucun d’entre eux n’est parfait. Ils présentent des ouvertures ou des opportunités que les gens peuvent utiliser pour avoir accès».
«C’est comme verrouiller toutes les portes et fenêtres, mais laisser la fenêtre de la cuisine ouverte toute la nuit. Si le cambrioleur doit faire le tour de la maison, il finira par la trouver, quelle que soit la taille de votre maison. Et c’est exactement ce qui se passe avec les logiciels…»
«Il débloque toutes sortes de fonctionnalités administratives qu’il utilise ensuite pour se positionner, se cacher et avoir accès à tout ce qui se passe dans votre téléphone. C’est une prouesse technique très originale et impressionnante».
Une fois que le logiciel espion se trouve sur un smartphone, il peut être utilisé pour surveiller toute l’activité des applications, telles que courriels, activité du navigateur, messagerie texte et photos, ainsi que le matériel: microphone, haut-parleurs, caméras avant et arrière.
En réponse aux révélations du projet Pegasus — qu’il a qualifiée d’«histoire de l’année» — le lanceur d’alerte et ancien analyste du renseignement Edward Snowden a publié un billet de blog sur Substack le 26 juillet intitulé «The Insecurity Industry». Il y écrit qu’avant les révélations de Pegasus, «la plupart des fabricants de smartphones, ainsi qu’une grande partie de la presse mondiale, levaient collectivement les yeux au ciel lorsque j’identifiais publiquement un iPhone tout juste sorti de sa boîte comme une menace potentiellement mortelle».
Il a poursuivi en disant qu’en dépit d’années de reportages impliquant le «piratage à but lucratif de téléphones par le Groupe NSO dans la mort et la détention de journalistes et de défenseurs des droits de l’homme» et en dépit des preuves que les systèmes d’exploitation des smartphones sont «criblés de failles de sécurité catastrophiques», il s’est souvent senti comme «quelqu’un qui essaie de convaincre son seul ami qui refuse d’entendre raison d’arrêter de fumer et de réduire sa consommation d’alcool — pendant ce temps, les publicités des magazines disent toujours “Neuf médecins sur dix fument des iPhones!” et “La navigation mobile non sécurisée est rafraîchissante!”»
Snowden, qui vit en asile en Russie depuis plus de huit ans, a révélé en 2013 l’existence d’une opération de surveillance massive menée par la «National Security Agency» et la «Central Intelligence Agency» américaines, qui surveillait l’activité électronique et téléphonique de tous les habitants de la planète.
À propos du logiciel espion Pegasus, Snowden a écrit dans son blog qu’il considérait la fuite et les révélations à ce sujet comme un «tournant» et a ajouté que le Groupe NSO et l’industrie mondiale du piratage commercial «consistent à concevoir de nouveaux types d’infections qui contournent les tout derniers vaccins numériques — les mises à jour de sécurité ACA — puis à les vendre aux pays qui se trouvent à l’intersection rougeoyante d’un diagramme de Venn entre “ besoin désespéré d’outils d’oppression” et “manque cruel de sophistication pour les produire dans le pays”». Snowden a demandé le démantèlement de cette industrie.
(Article paru d’abord en anglais le 4 août 2021)